InterWay logo

Zodpovedné oznamovanie zraniteľností

Zodpovedné oznamovanie zraniteľností

Kybernetická bezpečnosť

Bezpečnosť našich systémov a služieb berieme vážne.

V InterWay si uvedomujeme, že aj napriek prijatým technickým a organizačným opatreniam sa môžu vyskytnúť zraniteľnosti v našich produktoch, službách alebo infraštruktúre.

Ak ste objavili zraniteľnosť v našich produktoch alebo službách, budeme vďační, ak nám ju oznámite v súlade s princípmi koordinovaného oznamovania zraniteľností.

 

Pri riešení zraniteľností postupujeme v súlade s národnou politikou pre oznamovanie zraniteľností vydanou Národným bezpečnostným úradom Slovenskej republiky.

 

Náš záväzok voči oznamovateľom

 

Ak budete postupovať v dobrej viere a v súlade s pravidlami zodpovedného oznamovania: 

  1. nebudeme voči vám uplatňovať právne kroky za samotné oznámenie zraniteľnosti,
  2. budeme s vami profesionálne a konštruktívne komunikovať,
  3. potvrdíme prijatie oznámenia bez zbytočného odkladu,
  4. budeme vás informovať o stave riešenia,
  5. po dohode môžeme uviesť vaše meno medzi oznamovateľmi (ak si to budete priať). 

Zároveň vás žiadame, aby ste informácie o zraniteľnosti nezverejňovali pred jej odstránením alebo pred vzájomne dohodnutým termínom zverejnenia. 

 

Rozsah politiky

Táto politika sa vzťahuje na:
  • všetky verejne dostupné webové aplikácie a služby prevádzkované našou spoločnosťou,
  • verejne dostupné API rozhrania,
  • ďalšie systémy, ktoré sú dostupné z internetu a sú vo vlastníctve alebo správe našej spoločnosti.
Táto politika sa nevzťahuje na:
  • útoky typu DoS/DDoS,
  • sociálne inžinierstvo voči zamestnancom,
  • fyzické útoky na infraštruktúru,
  • automatizované skenovanie bez predchádzajúcej dohody.

 

 

 

Pravidlá testovania

Pri overovaní zraniteľnosti vás žiadame:

  • konať primerane a v dobrej viere, 
  • nepoškodzovať dostupnosť služieb,
  • nemanipulovať s dátami iných používateľov,
  • nezískavať, nekopírovať ani nezverejňovať osobné údaje,
  • neprekračovať rozsah nevyhnutný na preukázanie existencie zraniteľnosti.

Ak je to možné, testujte výlučné na vlastných účtoch alebo testovacích dátach. 

 

 

 

 

Ako nám zraniteľnosť nahlásiť?

 

Kariera 
1. E-mailom na: 

zranitelnosti@interway.sk 

PGP kľúč

Odtlačok PGP kľúča (Fingerprint):  38F5F695642A7A1C73AF6C7E90DC0AF8975E50AD

 

 
2. Použitím formulára:

 

 

 

 

 

Vaše oznámenie by malo obsahovať:

  • identifikáciu zasiahnutého systému alebo služby (napr. názov produktu),

  • popis zraniteľnosti a jej dopadu,

  • kroky na reprodukovanie problému,

  • verziu systému alebo konfiguráciu, ak je relevantná,

  • kontaktné údaje pre spätnú komunikáciu.

 

Proces riešenia

Po prijatí oznámenia: 

Potvrdíme jeho prijatie v čo najkratšej dobe

Overíme existenciu zraniteľnosti

Vyhodnotíme jej závažnosť (štandardne podľa CVSS)

Určíme prioritu riešenia

Pripravíme opravu alebo mitigáciu

Po dohode zabezpečíme koordinované zverejnenie.

Naším cieľom je odstrániť zraniteľnosti v primeranej lehote v závislosti od ich závažnosti. 

 

Ďakujeme, že pomáhate budovať bezpečnejší digitálny priestor.

Zodpovední výskumníci a odborníci na bezpečnosť nám pomáhajú zlepšovať naše systémy a chrániť používateľov. Oznámenie zraniteľnosti vnímame ako profesionálny a etický krok, ktorý prispieva k vyššej úrovni kybernetickej bezpečnosti.

Zobraziť návrhy

  

 

IWAYNEWS

Táto web stránka používá cookies

Na zlepšenie našich služieb používame cookies. Prečítajte si informácie o tom, ako používame cookies a ako ich môžete odmietnuť nastavením svojho prehliadača.

Akceptovať všetko Zamietnuť všetko Zobraziť detail
Kariéra 5