Zásady zodpovedného informovania

Úvod

V spoločnosti DFDS berieme zabezpečenie veľmi vážne. V tomto dokumente sú uvedené bezpečnostné postupy a všeobecné zásady týkajúce sa informovania o nedostatkoch zabezpečenia. Ak zvažujete, že by ste nám (ďalej len „organizácia“) nahlásili nedostatok zabezpečenia, odporúčame vám prečítať si predtým plné znenie týchto zásad informovania o nedostatkoch zabezpečenia.

Aj keď si vážime tých, ktorí venujú čas a úsilie nahláseniu nedostatkov zabezpečenia v súlade s týmito zásadami, upozorňujeme, že za informovanie o nedostatkoch zabezpečenia neponúkame žiadne peňažné odmeny.

Nahlasovanie

Ak sa domnievate, že ste našli nedostatok zabezpečenia, nahláste nám to na tejto e-mailovej adrese: security@dfds.com.

V hlásení uveďte nasledujúce informácie:

  • webovú lokalitu, repozitár Git, IP adresu alebo stránku, kde sa nedostatok zabezpečenia objavil;

  • stručný opis typu nedostatku zabezpečenia (napr. „nedostatok zabezpečenia typu XSS“);

  • kroky potrebné na zreprodukovanie nahláseného problému.

Uistite sa, že vaše testy sú neškodné, nedeštruktívne a slúžia ako dôkaz o vašom zistení.

Tieto informácie pomáhajú zabezpečiť rýchle a presné stanovenie priorít v súvislosti s vaším hlásením.

Čo môžete očakávať

Po odoslaní hlásenia vám odpovieme do 5 pracovných dní a do 15 pracovných dní sa v súvislosti s ním pokúsime stanoviť priority. O tom, ako postupujeme, vás budeme priebežne informovať. Priorita nápravy sa posudzuje na základe vplyvu, závažnosti a zložitosti zneužitia. O stave riešenia sa môžete informovať, no chceme vás požiadať, aby ste to nerobili častejšie ako raz za 14 dní, aby sa naše tímy mohli sústrediť na nápravu.

Po náprave nahláseného nedostatku zabezpečenia vás budeme informovať. Je možné, že vás požiadame, aby ste potvrdili, či riešenie dostatočne odstránilo nedostatok zabezpečenia. Po vyriešení nedostatku zabezpečenia môžete požiadať o verejné informovanie o svojom hlásení. Naším cieľom je zjednotiť usmernenia určené ovplyvneným používateľom, preto vás žiadame, aby ste verejné informovanie o nedostatku zabezpečenia aj naďalej koordinovali s nami.

Usmernenia

NESMIETE:

  • porušiť platné právne predpisy a nariadenia;

  • pristupovať k nepotrebným, nadmerným alebo značným množstvám údajov;

  • upravovať údaje v systémoch alebo službách organizácie;

  • používať na vyhľadávanie nedostatkov zabezpečenia vysokointenzívne invazívne alebo deštruktívne nástroje na kontrolu;

  • pokúšať sa o akékoľvek odopretie služby, napr. zahltením služby veľkým množstvom požiadaviek, alebo nahlasovať takéto situácie;

  • narúšať služby alebo systémy organizácie.