Polityka odpowiedzialnego ujawniania

Poważnie traktujemy bezpieczeństwo i doceniamy pomoc społeczności w poprawie ochrony naszych systemów.

Nasze zobowiązanie

Bezpieczeństwo naszych systemów oraz ochrona danych naszych klientów są dla nas absolutnym priorytetem. Zachęcamy badaczy bezpieczeństwa do odpowiedzialnego zgłaszania wszelkich podatności, które mogą zostać przez nich odkryte.

Zakres

Niniejsza polityka obejmuje naszą stronę internetową, aplikacje, usługi online oraz publicznie dostępne API.

Czego od Ciebie oczekujemy

Jeśli odkryjesz podatność, prosimy o:

• Natychmiastowy kontakt z nami za pośrednictwem danych wskazanych w naszym pliku security.txt
• Nieupublicznianie podatności, zanim będziemy mieli czas ją naprawić
• Niewykorzystywanie podatności w zakresie wykraczającym poza to, co jest konieczne do jej zademonstrowania
• Nieuzyskiwanie dostępu, niezmienianie ani nieusuwanie danych innych użytkowników
• Niezakłócanie działania naszych usług ani infrastruktury

Nasze zobowiązanie wobec Ciebie

• Potwierdzimy otrzymanie zgłoszenia w ciągu 3 dni roboczych
• Będziemy informować o postępach w usuwaniu podatności
• Nie podejmiemy żadnych działań prawnych wobec badaczy działających w dobrej wierze i zgodnie z niniejszą polityką
• Wymienimy Cię jako autora zgłoszenia (jeśli sobie tego życzysz) w komunikacji dotyczącej poprawki

Podatności poza zakresem

Następujące kwestie nie są objęte niniejszą polityką:

• Ataki typu odmowa usługi (DoS/DDoS)
• Inżynieria społeczna lub phishing wymierzone w naszych pracowników
• Ataki fizyczne na nasze obiekty lub sprzęt
• Podatności w usługach stron trzecich, z których korzystamy

Kontakt

Dane kontaktowe do zgłaszania podatności są dostępne w naszym pliku security.txt.

Prosimy o przekazanie jak największej liczby szczegółów: opisu podatności, kroków umożliwiających jej odtworzenie, potencjalnego wpływu oraz sugestii dotyczących naprawy.