Retningslinjer for ansvarlig avsløring

Innledning

Hos DFDS tar vi sikkerhet veldig alvorlig. Dette dokumentet skisserer sikkerhetsprosedyrer og generelle retningslinjer for å avsløre sikkerhetsproblemer. Hvis du vurderer å rapportere en sårbarhet til oss («organisasjonen»), anbefaler vi at du leser disse retningslinjene for avsløring av sårbarheter grundig før du gjør det.

Vi setter pris på dem som tar seg tid til å rapportere sikkerhetsproblemer i henhold til disse retningslinjene, men vi tilbyr ikke økonomiske belønninger for rapportering av sårbarheter.

Rapportering

Hvis du mener at du har funnet en sikkerhetssårbarhet, kan du sende inn rapporten til oss ved å bruke følgende e-postadresse: security@dfds.com.

Ta med følgende detaljer i rapporten:

  • Nettstedet, git-repositoriet, IP-adressen eller siden der sikkerhetsproblemet kan observeres.

  • En kort beskrivelse av typen sårbarhet (f.eks. "XSS-sårbarhet").

  • Fremgangsmåte for å reprodusere avsløringen.

Sørg for at testene dine er godartede, ikke-destruktive eller fungerer som et bevis på konseptet.

Denne informasjonen bidrar til å sikre at rapporten kan sorteres raskt og nøyaktig.

Hva du kan forvente

Etter at du har sendt inn rapporten, vil vi svare deg innen fem virkedager, og vi tar sikte på å behandle rapporten innen 15 virkedager. Vi holder deg informert om fremdriften vår. Prioritet for utbedring vurderes basert på innvirkning, alvorlighetsgrad og kompleksitet. Du er velkommen til å spørre om status, men unngå å gjøre det mer enn én gang hver 14. dag, slik at teamene våre kan fokusere på utbedring.

Vi varsler deg når den rapporterte sårbarheten er utbedret, og du kan bli invitert til å bekrefte at løsningen dekker sårbarheten på en tilfredsstillende måte. Når sårbarheten er utbedret, tar vi gjerne imot forespørsler om å offentliggjøre rapporten din. Vi har som mål å gi enhetlig veiledning til berørte brukere, så fortsett å koordinere offentliggjøring med oss.

Veiledning

Du må IKKE:

  • Bryte gjeldende lover eller forskrifter.

  • Få tilgang til unødvendige, overdrevne eller betydelige mengder data.

  • Endre data i organisasjonens systemer eller tjenester.

  • Bruke inngripende eller destruktive skanneverktøy med høy intensitet for å finne sårbarheter.

  • Forsøk på eller rapportering av enhver form for tjenestenekt, f.eks. å overvelde en tjeneste med et stort volum av forespørsler.

  • Forstyrre organisasjonens tjenester eller systemer.