Policy för ansvarsfull rapportering av säkerhetsproblem

Inledning

På DFDS tar vi säkerheten på största allvar. I detta dokument beskrivs de säkerhetsförfaranden och allmänna policyer som gäller för den som vill rapportera säkerhetsbrister. Om du funderar på att rapportera ett säkerhetsproblem till oss (”Organisationen”) rekommenderar vi att du läser hela policyn för rapportering av säkerhetsproblem innan du gör det.

Vi tackar alla som tar sig tid att rapportera säkerhetsproblem enligt denna policy, men observera att vi inte erbjuder någon ekonomisk ersättning för rapportering av säkerhetsbrister.

Rapportering

Om du tror att du har hittat en säkerhetsbrist kan du skicka din rapport till oss via följande e-postadress: security@dfds.com.

Din rapport ska innehålla följande uppgifter:

  • Webbplatsen, git-katalogen, IP-adressen eller sidan där sårbarheten kan observeras.

  • En kort beskrivning av vad det är för slags sårbarhet (t.ex. ”XSS-sårbarhet”).

  • Steg för att återskapa situationen.

Se till att dina tester är godartade, icke-destruktiva eller fungerar som ett koncepttest.

Denna information hjälper till att säkerställa att rapporten snabbt kan bedömas och prioriteras på ett korrekt sätt.

Vad händer sedan?

När du har skickat in din rapport svarar vi inom 5 arbetsdagar och strävar efter att bedöma din rapport inom 15 arbetsdagar. Vi uppdaterar dig om ditt ärende under processens gång. Faktorer som påverkan, allvarlighetsgrad och exploateringskomplexitet påverkar hur akut ärendet bedöms vara. Du är välkommen att fråga om statusen, men gör det helst inte oftare än var 14:e dag, så att våra team kan fokusera på att åtgärda problemet.

Vi meddelar dig när den rapporterade säkerhetsbristen har åtgärdats, och du kan bli inbjuden att bekräfta att lösningen åtgärdar bristen på ett adekvat sätt. När säkerhetsbristen har åtgärdats ser vi gärna att du godkänner att vi offentliggör din rapport. Vi strävar efter att skapa en enhetlig vägledning för berörda användare, så samordna gärna offentliggörandet med oss.

Vägledning

Du får INTE:

  • Bryta mot några gällande lagar eller föreskrifter.

  • Få åtkomst till onödiga, överdrivet omfattande eller betydande mängder data.

  • Ändra data i Organisationens system eller tjänster.

  • Använda högintensiva invasiva eller destruktiva skanningsverktyg för att hitta säkerhetsbrister.

  • Försöka åstadkomma eller rapportera någon form av funktionsförlust, t.ex. att överbelasta en tjänst med en stor mängd förfrågningar (en så kallad överbelastningsattack).

  • Störa Organisationens tjänster eller system på något annat sätt.