Responsible disclosure (zodpovědné odhalení)

Nalezli jste zranitelnost? Dejte nám o tom vědět.

Ve společnosti Pon Holdings B.V. a v jejích dceřiných společnostech pokládáme bezpečnost našich systémů a sítě za velmi důležitou. Jsme přesvědčeni, že dobré zabezpečení je naprosto nezbytné pro důvěru, kterou do nás naši zákazníci, dodavatelé a zaměstnanci vkládají. Navzdory péči o zabezpečení našich systémů se může stát, že bude nalezena zranitelnost.

Prostřednictvím naší zásady responsible disclosure (zodpovědného odhalení) žádáme každého, kdo odhalí nějakou zranitelnost, aby toto nahlásil tak, abychom mohli přijmout odpovídající opatření. Rádi s vámi budeme spolupracovat na vyřešení této zranitelnosti. Naše zásada responsible disclosure nemá sloužit jako pozvání k aktivnímu prohledávání naší firemní sítě za účelem zjištění zranitelností. Naši firemní síť si monitorujeme sami.

Rádi bychom vás požádali o následující:

  • Vaše zjištění zašlete prosím co nejrychleji na e-mailovou adresu rd@pon.com. Pokud si přejete zaslat zprávu šifrovaně, zmiňte to prosím ve svém e-mailu. Poskytneme vám pokyny;
  • Poskytněte nám dostatek informací potřebných k reprodukci této zranitelnosti tak, abychom toto mohli co možná nejrychleji vyřešit. Většinou je IP adresa nebo URL postiženého systému a popis zranitelnosti dostačující, ale u komplexnějších zranitelností budeme potřebovat více informací.
  • Zranitelnost nezneužívejte například tím způsobem, že byste stahovali, prohlíželi si, mazali nebo upravovali data;
  • Nesdílejte zranitelnost se třetími osobami do té chvíle, dokud se ji nepodaří vyřešit. V případě, že byste se neočekávaně dostali k důvěrným datům, žádáme vás, abyste tyto data neprodleně smazali;
  • Nezneužívejte útoků na fyzické zabezpečení třetích stran, sociální inženýrství, DDoS útoky (distributed denial of service), spam nebo hackerské nástroje jako jsou například skenery zranitelnosti.

Co můžete očekávat:

  • Vaše nahlášení budeme brát vždy vážně. Vždy prověříme i jen podezření na zranitelnost;
  • Na vaši zprávu odpovíme do 5 pracovních dnů, připojíme posouzení vašeho nahlášení a předpokládané datum vyřešení;
  • Budeme vás informovat o průběhu řešení zranitelnosti;
  • Pokud jste splnili výše uvedené podmínky, nepodnikneme proti vám žádné právní kroky v souvislosti s vaším nahlášením. Státní zastupitelství si vyhrazuje právo rozhodnout samo o tom, zda je nutné další vyšetřování;
  • S vaším hlášením zacházíme důvěrně a vaše osobní údaje nebudeme bez vašeho svolení sdílet se třetími stranami, pokud to nebude nezbytné ke splnění právní povinnosti, jako například v případě, kdy by si policie nebo soudní orgány o vaše osobní údaje zažádaly;
  • Anonymní nahlášení může znamenat to, že se s vámi nebudeme moci spojit, například abychom vás informovali o dalších krocích průběhu uzavření této zranitelnosti;
  • Naše poděkování můžeme projevit maximální částkou 50 €. Ta je určena na základě závažnosti zranitelnosti a kvality jejího nahlášení;
  • V případné zprávě o nahlášení zranitelnosti uvedeme vaše jméno jako toho, kdo zranitelnost objevil, pokud si to budete přát.
  • Snažíme se veškeré zranitelnosti co možná nejrychleji zanalyzovat a pokud je to potřeba, tak i vyřešit. Všechny zúčastněné strany budeme informovat.

Tato zásada responsible disclosure je založena na pokynech Responsible Disclosure Národního centra kybernetické bezpečnosti a příkladu Reponsible Disclosure, jehož autorem je Floor Terra.