Společnost ACTIVE 24 průběžně hodnotí rizika potenciálního napadení námi provozovaných služeb a ta zohledňuje jak při vývoji a provozu, tak při podnikání aktivních protiopatření. Zabezpečení služeb věnujeme značné úsilí a kapacity našich technických týmů. Jsme si vědomi, že bezpečnost systémů není statický stav, ale průběžný proces neustálého přehodnocování, vývoje a zdokonalování, kde důležitou roli hraje rychlost reakce na zjištěné slabiny. Proto vítáme spolupráci s komunitou specialistů v oblasti bezpečnosti a oceňujeme zodpovědné nahlášení jakékoliv nalezené a potenciálně zneužitelné zranitelnosti v našich systémech. Každá nahlášená zranitelnost bude bezodkladně ověřena a pokud se potvrdí, zajistíme její rychlou opravu. Jestliže ve službách ACTIVE 24 naleznete bezpečnostní zranitelnost, nahlašte nám ji prosím zodpovědným způsobem popsaným níže. V případě, že se budete těchto zásad držet, ACTIVE 24 se zavazuje, že proti vám nebude podnikat právní kroky a u zranitelnosti, která bude vyhodnocena jako vážná, naopak poskytne za její nahlášení finanční odměnu.
Zásady pro hlášení bezpečnostních zranitelností:
- Objevenou zranitelnost nahlaste na email csirt @ active24.cz.
- Pokud tomu nebrání vážná překážka, hlášení zašifrujte našim PGP klíčem.
- Jako součást hlášení nám poskytněte následující údaje:
- vaše jméno a kontaktní údaje (mj. váš PGP klíč pro možnost šifrované odpovědi)
- detaily zranitelnosti včetně postupu, jak tuto chybu reprodukovat a ověřit spolu s Proof of Concept možného zneužití
- Spolupracujte s námi na ověřování a reprodukci zaslaného hlášení.
- Během hledání a testování zranitelností se vyvarujte narušování soukromí, zasahování do uložených dat nebo poškozování provozovaných služeb.
- Vyhněte se přístupu k datům či zásahu do dat, která vám nepatří.
- Poskytněte nám rozumný čas pro ověření hlášení, opravu chyby a podniknutí dalších potřebných opatření před tím, než jakékoliv informace o zranitelnosti případně zveřejníte nebo svěříte dalším osobám.
Naši odpověď na zaslané hlášení očekávejte přibližně během jednoho až dvou pracovních dnů od data nahlášení.