Přeprava do
Spojené státy americké flagSpojené státy americké

🔥 Levnější doprava FedEx pro CORE One! 🚀

$USD
Čeština
Přihlášení

Pravidla pro nahlašování zranitelnosti webových stránek Prusa Research

Úvod

Tato pravidla pro nahlašování zranitelností se vztahují na všechny zranitelnosti, které zvažujete nahlásit společnosti Prusa Research a.s. (dále jen "Organizace"), pokud je na webových stránkách organizace zveřejněn soubor security.txt, který odkazuje na tyto zásady.

Doporučujeme, abyste si před nahlášením zranitelnosti plně přečetli tyto zásady odhalování zranitelností a vždy jednali v souladu s nimi.

Vážíme si těch, kteří věnují čas a úsilí nahlášení bezpečnostních chyb podle těchto zásad. Každé relevantní bezpečnostní hlášení, které vyhodnotíme jako hodné dalšího postupu, odměníme buď finančně nebo materiálně podle závažnosti problému.

Nahlašování

Pokud se domníváte, že jste našli bezpečnostní zranitelnost týkající se systému organizace, zašlete prosím zprávu o zranitelnosti na adresu uvedenou v poli KONTAKT zveřejněného souboru security.txt.

Ve své zprávě uveďte následující podrobnosti o:

  • Webovou doménu, IP adresu nebo URL stránky, kde lze zranitelnost pozorovat.
  • Stručný popis typu zranitelnosti, například "zranitelnost XSS".
  • Kroky k reprodukci. Mělo by se jednat o neškodný, nedestruktivní důkaz konceptu. To nám pomáhá zajistit rychlejší zpracování zprávy. Snižuje to také pravděpodobnost duplicitních hlášení nebo škodlivého zneužití některých zranitelností.

Co můžete očekávat

Po odeslání hlášení vám odpovíme do 5 pracovních dnů a do 10 pracovních dnů se budeme snažit vaše hlášení vyřešit. Budeme se také snažit vás průběžně informovat o našem postupu.

Priorita nápravy se posuzuje podle dopadu, závažnosti a složitosti zneužití. Zprávy o zranitelnostech mohou vyžadovat určitý čas na třídění nebo řešení. Můžete se dotazovat na stav, ale neměli byste tak činit častěji než jednou za 14 dní. To umožní našim týmům soustředit se na nápravu.

Po odstranění nahlášené zranitelnosti vás budeme informovat a můžete být vyzváni, abyste potvrdili, že řešení zranitelnost dostatečně pokrývá.

Po vyřešení zranitelnosti uvítáme žádosti o zveřejnění vašeho hlášení. Rádi bychom sjednotili naše pokyny, proto s námi i nadále koordinujte zveřejňování

.

Poradenství

Není dovoleno:

  • Porušovat platné zákony a předpisy.
  • Přístupovat k nepotřebným, nadměrným nebo významným objemům dat.
  • Měnit údaje v systémech nebo službách Organizace.
  • Využívat vysoce intenzivní invazivní nebo destruktivní skenovací nástroje k nalezení zranitelností.
  • Pokus o jakoukoli formu DDOS útoků, např. zahlcení služby velkým množstvím požadavků.
  • Narušit funkčnost služeb nebo systémů Organizace.
  • Reportovat zranitelnosti, které nelze zneužít nebo reportovat odlišnosti od "osvědčených postupů", například chybějící bezpečnostní hlavičky.
  • Reportovat nedostatky konfigurace TLS, například o podpoře "slabých" sad šifer nebo o přítomnosti podpory TLS1.0.
  • Sdělovat jakékoli zranitelnosti nebo související podrobnosti jinak než způsobem popsaným ve zveřejněném souboru security.txt.
  • Sociální inženýrství, phishing nebo fyzický útok na zaměstnance nebo infrastrukturu Organizace.
  • Požadovat finanční kompenzaci za odhalení případných zranitelností.

Je vyžadováno:

  • Vždy dodržujte pravidla ochrany osobních údajů a neporušujte soukromí žádných údajů, které má organizace k dispozici. Nesmíte například sdílet, dále šířit nebo řádně nezabezpečit data získaná ze systémů nebo služeb.
  • bezpečně vymažte všechna data získaná během výzkumu, jakmile je již nebudete potřebovat, nebo do 1 měsíce od vyřešení zranitelnosti, podle toho, co nastane dříve (nebo podle jiných požadavků zákona o ochraně osobních údajů).

Právní předpisy

Tyto zásady jsou navrženy tak, aby byly v souladu s běžnými osvědčenými postupy při zveřejňování zranitelností. Nedává vám povolení jednat způsobem, který je v rozporu se zákonem nebo který by mohl způsobit, že organizace nebo partnerské organizace poruší jakékoli právní povinnosti.