Zasady odpowiedzialnego ujawniania informacji

Wprowadzenie

W firmie DFDS bardzo poważnie podchodzimy do kwestii bezpieczeństwa. W tym dokumencie przedstawiono procedury zabezpieczeń i ogólne zasady dotyczące ujawniania luk w zabezpieczeniach. Jeśli rozważasz zgłoszenie nam („Organizacji”) luki w zabezpieczeniach, zalecamy najpierw dokładne zapoznanie się z niniejszymi zasadami.

Chociaż cenimy czas i wysiłek włożony w zgłaszanie luk w zabezpieczeniach zgodnie z tymi zasadami, należy pamiętać, że nie oferujemy nagród pieniężnych za ujawnienie luk.

Zgłaszanie

Jeśli znajdziesz lukę w zabezpieczeniach, zgłoś ją do nas, wysyłając wiadomość e-mail na adres: security@dfds.com.

W zgłoszeniu podaj następujące informacje:

  • Strona internetowa, repozytorium git, adres IP lub strona, na której można zaobserwować lukę w zabezpieczeniach.

  • Krótki opis typu luki w zabezpieczeniach (np. „Luka w zabezpieczeniach XSS”).

  • Kroki wymagane do odtworzenia ujawnienia.

Upewnij się, że Twoje testy są nieszkodliwe, nieniszczące lub służą jako dowód koncepcji.

Informacje te umożliwiają szybką i dokładną klasyfikację zgłoszenia.

Czego możesz oczekiwać

Odpowiemy na zgłoszenie w ciągu 5 dni roboczych i postaramy się je sklasyfikować w ciągu 15 dni roboczych. O naszych postępach będziemy informować na bieżąco. Priorytet opublikowania poprawki jest oceniany na podstawie wpływu, wagi i złożoności luki w zabezpieczeniach. Możesz zapytać o status zgłoszenia, ale nie rób tego częściej niż raz na 14 dni, aby umożliwić naszym zespołom skupienie się na działaniach naprawczych.

Powiadomimy Cię, gdy zgłoszona luka w zabezpieczeniach zostanie usunięta. Możemy tez poprosić Cię o potwierdzenie, że rozwiązanie odpowiednio zabezpiecza przed tą luką. Po usunięciu luki w zabezpieczeniach możemy na Twoją prośbę ujawnić zgłoszenie. Naszym celem jest ujednolicenie wytycznych dla użytkowników, których dotyczy problem, dlatego prosimy o nieujawnianie luki bez porozumienia z nami.

Wskazówki

NIE możesz:

  • łamać jakichkolwiek obowiązujących praw i przepisów;

  • uzyskiwać dostępu do niepotrzebnych, nadmiernych lub znacznych ilości danych;

  • modyfikować danych w systemach lub usługach Organizacji;

  • używać inwazyjnych lub destrukcyjnych narzędzi skanowania o wysokiej intensywności, aby znaleźć luki w zabezpieczeniach;

  • podejmować lub zgłaszać jakiejkolwiek formy blokady usług, jak np. przeciążenie usługi dużą liczbą żądań;

  • zakłócać działania usług lub systemów Organizacji.