Deedsters policy för avslöjande av sårbarhet
Introduktion
Deedster välkomnar feedback från säkerhetsforskare och allmänheten för att hjälpa till att förbättra vår säkerhet. Om du tror att du har upptäckt en sårbarhet, sekretessproblem, exponerad data eller andra säkerhetsproblem i någon av våra tillgångar vill vi höra från dig. Denna policy beskriver steg för att rapportera sårbarheter till oss, vad vi förväntar oss, vad du kan förvänta dig av oss.
System i omfattning
Denna policy gäller alla digitala tillgångar som ägs, drivs eller underhålls av Deedster.
Utanför räckvidd
Tillgångar eller annan utrustning som inte ägs av parter som deltar i denna policy.
Sårbarheter som upptäcks eller misstänks i system utanför räckvidden bör rapporteras till lämplig leverantör eller tillämplig myndighet.
Våra åtaganden
När du arbetar med oss, enligt denna policy, kan du förvänta dig att vi:
- Svara på din rapport omgående och samarbeta med dig för att förstå och validera din rapport;
- Sträva efter att hålla dig informerad om utvecklingen av en sårbarhet när den bearbetas;
- Arbeta för att åtgärda upptäckta sårbarheter i tid, inom våra operativa begränsningar; och
- Utöka Safe Harbor för din sårbarhetsforskning som är relaterad till denna policy.
Våra förväntningar
När vi deltar i vårt program för avslöjande av sårbarheter i god tro ber vi dig:
- Spela efter reglerna, inklusive att följa denna policy och andra relevanta avtal. Om det finns någon inkonsekvens mellan denna policy och andra tillämpliga villkor, kommer villkoren i denna policy att ha företräde;
- Rapportera alla sårbarheter du har upptäckt omedelbart;
- Undvik att kränka andras integritet, störa våra system, förstöra data och/eller skada användarupplevelsen;
- Använd endast de officiella kanalerna för att diskutera sårbarhetsinformation med oss;
- Ge oss en rimlig tid (minst 60 dagar från den första rapporten) för att lösa problemet innan du avslöjar det offentligt;
- Utför endast testning på system inom räckvidden och respektera system och aktiviteter som ligger utanför räckvidden;
- Om en sårbarhet ger oavsiktlig åtkomst till data: Begränsa mängden data du får åtkomst till till det minimum som krävs för att effektivt demonstrera ett Proof of Concept; och sluta testa och skicka en rapport omedelbart om du stöter på användardata under testningen, såsom personligt identifierbar information (PII), personlig hälsovårdsinformation (PHI), kreditkortsdata eller patentskyddad information;
- Du bör endast interagera med testkonton du äger eller med uttryckligt tillstånd från kontoinnehavaren; och
- Delta inte i utpressning.
Officiella kanaler
Vänligen rapportera säkerhetsproblem via security@deedster.com (vi skulle aldrig spamma eller skicka irrelevanta e-postmeddelanden till dig) tillhandahålla all relevant information. Ju mer information du anger, desto lättare blir det för oss att triage och åtgärda problemet.
Säker hamn
När vi utför sårbarhetsforskning, enligt denna policy, anser vi att denna forskning som utförs enligt denna policy är:
- Godkänd angående tillämplig anti-hacking-lagar, och vi kommer inte att initiera eller stödja rättsliga åtgärder mot dig för oavsiktliga brott mot denna policy i god tro;
- Godkänd gällande alla relevanta lagar mot kringgående, och vi kommer inte att väcka anspråk mot dig för kringgående av tekniska kontroller;
- Undantag från begränsningar i våra användarvillkor (TOS) och/eller policy för acceptabel användning (AUP) som skulle störa utförandet av säkerhetsundersökningar, och vi avstår från dessa begränsningar på en begränsad basis; och
- Lagligt, till hjälp för Internets övergripande säkerhet och utfört i god tro.
Du förväntas, som alltid, följa alla tillämpliga lagar. Om en tredje part initierar rättsliga åtgärder mot dig och du har följt denna policy, kommer vi att vidta åtgärder för att göra det känt att dina åtgärder utfördes i enlighet med denna policy.
Om du vid något tillfälle har funderingar eller är osäker på om din säkerhetsforskning är förenlig med denna policy, skicka en rapport via en av våra officiella kanaler innan du går vidare.
Notera:
Safe Harbor gäller endast för juridiska anspråk under kontroll av organisationen som deltar i denna policy och att policyn inte binder oberoende tredje parter.