Sorumlu ifşa politikası

Giriş

DFDS olarak güvenliği çok ciddiye alıyoruz. Bu belge, güvenlik prosedürlerini ve güvenlik açıklarının ifşa edilmesine yönelik genel politikaları özetlemektedir. Bize ("Kuruluş") bir güvenlik açığı bildirmeyi düşünüyorsanız, bunu yapmadan önce bu güvenlik açığı ifşa politikasını tamamen okumanızı öneririz.

Bu politikaya uygun olarak güvenlik açıklarını bildirmek için zaman ve emek harcayanlara değer veriyoruz; ancak güvenlik açıklarının ifşa edilmesi durumunda parasal ödül vermediğimizi lütfen unutmayın.

Raporlama

Bir güvenlik açığı bulduğunuzu düşünüyorsanız, lütfen şu e-postayı kullanarak raporunuzu bize gönderin: security@dfds.com.

Raporunuza aşağıdaki ayrıntıları ekleyin:

  • Güvenlik açığının gözlemlenebileceği web sitesi, git deposu, IP veya sayfa.

  • Güvenlik açığı türünün kısa bir açıklaması (örneğin, "XSS güvenlik açığı").

  • İfşayı yeniden oluşturma adımları.

Lütfen testlerinizin zararsız, tahribatsız veya kavram kanıtı niteliğinde olduğundan emin olun.

Bu bilgiler, raporun hızlı ve doğru bir şekilde sınıflandırılmasını sağlamaya yardımcı olur.

Ne beklemeli

Raporunuzu gönderdikten sonra 5 iş günü içinde yanıt vereceğiz ve raporunuzu 15 iş günü içinde sınıflandırmayı hedefliyoruz. İlerlememiz hakkında sizi bilgilendireceğiz. Düzeltme önceliği etki, önem derecesi ve istismar karmaşıklığına göre değerlendirilir. Durum hakkında bilgi almakta özgürsünüz ancak ekiplerimizin düzeltmeye odaklanabilmesi için lütfen bunu her 14 günde bir defadan fazla yapmaktan kaçının.

Bildirilen güvenlik açığı giderildiğinde sizi bilgilendireceğiz ve çözümün güvenlik açığını yeterince kapatıp kapatmadığını onaylamanız için davet edilebilirsiniz. Güvenlik açığı giderildikten sonra, raporunuzu ifşa etme taleplerinizi memnuniyetle karşılıyoruz. Etkilenen kullanıcılar için rehberliği birleştirmeyi hedefliyoruz, bu nedenle lütfen bizimle kamuya açık duyuruyu koordine etmeye devam edin.

Rehberlik

Aşağıdakileri YAPMAMANIZ gerekir:

  • Yürürlükteki yasa veya yönetmelikleri ihlal etmeyin.

  • Gereksiz, aşırı veya önemli miktarda veriye erişmeyin.

  • Kuruluşun sistemlerindeki veya hizmetlerindeki verileri değiştirmeyin.

  • Güvenlik açıklarını bulmak için yüksek yoğunluklu istilacı veya yıkıcı tarama araçları kullanmayın.

  • Herhangi bir hizmet reddi girişiminde bulunmayın veya bildirmeyin, örneğin bir hizmeti çok sayıda istekle boğmayın.

  • Kuruluşun hizmetlerini veya sistemlerini kesintiye uğratmayın.