Politica de dezvăluire responsabilă

Introducere

La DFDS, luăm securitatea foarte în serios. Acest document prezintă procedurile de securitate și politicile generale pentru dezvăluirea vulnerabilităților de securitate. Dacă intenționați să ne raportați o vulnerabilitate ("Organizația"), vă recomandăm să citiți în întregime această politică de dezvăluire a vulnerabilităților înainte de a face acest lucru.

Deși îi apreciem pe cei care își iau timpul și fac efortul de a raporta vulnerabilitățile de securitate în conformitate cu această politică, vă rugăm să rețineți că nu oferim recompense monetare pentru dezvăluirea vulnerabilităților.

Raportare

Dacă credeți că ați găsit o vulnerabilitate de securitate, vă rugăm să ne trimiteți raportul dumneavoastră folosind următorul e-mail: security@dfds.com.

În raportul dvs., includeți următoarele detalii:

  • Site-ul web, depozitul git, IP-ul sau pagina unde poate fi observată vulnerabilitatea.

  • O scurtă descriere a tipului de vulnerabilitate (de exemplu, "Vulnerabilitate XSS").

  • Pași pentru reproducerea divulgării.

Vă rugăm să vă asigurați că testele dvs. sunt benigne, nedistructive sau servesc ca o dovadă a conceptului.

Aceste informații ajută la asigurarea faptului că raportul poate fi triat rapid și precis.

La ce să vă așteptați

După depunerea raportului, vă vom răspunde în termen de 5 zile lucrătoare și ne propunem să triem raportul dumneavoastră în termen de 15 zile lucrătoare. Vă vom ține la curent cu progresul nostru. Prioritatea pentru remediere este evaluată în funcție de impact, gravitate și complexitatea exploatării. Deși sunteți binevenit să solicitați informații cu privire la stare, vă rugăm să evitați să faceți acest lucru mai mult de o dată la 14 zile pentru a permite echipelor noastre să se concentreze pe remediere.

Vă vom notifica atunci când vulnerabilitatea raportată este remediată și este posibil să fiți invitat să confirmați că soluția acoperă în mod adecvat vulnerabilitatea. Odată ce vulnerabilitatea a fost rezolvată, vom primi cu plăcere solicitările de a vă publica raportul. Scopul nostru este de a unifica îndrumările pentru utilizatorii afectați, așa că vă rugăm să continuați să coordonați cu noi difuzarea publică.

Orientare

NU trebuie să:

  • Încălcați orice legi sau reglementări aplicabile.

  • Accesați cantități inutile, excesive sau semnificative de date.

  • Modificați datele din sistemele sau serviciile organizației.

  • Utilizați instrumente de scanare invazive sau distructive de mare intensitate pentru a găsi vulnerabilități.

  • Încercați sau raportați orice formă de refuz al serviciului, de exemplu, copleșirea unui serviciu cu un volum mare de solicitări.

  • Întrerupeți serviciile sau sistemele organizației.