Wysyłka do
Stany Zjednoczone flagStany Zjednoczone

🔥 Obniżona wysyłka FedEx dla CORE One! 🚀

$USD
Polski
Login

Polityka bezpieczeństwa Prusa 3D

Wprowadzenie

Niniejsze zasady ujawniania luk mają zastosowanie do wszystkich luk, które zamierzasz zgłosić do Prusa Research a.s. ("Organizacja") tak długo, jak strona internetowa Organizacji ma opublikowany plik security.txt, który odnosi się do tej polityki.

Zalecamy pełne zapoznanie się z niniejszymi zasadami ujawniania luk przed zgłoszeniem luki i zawsze działanie zgodnie z nimi.

Doceniamy tych, którzy poświęcają czas i wysiłek, aby zgłaszać luki w zabezpieczeniach zgodnie z tą polityką. Nagrodzimy każde istotne zgłoszenie dotyczące bezpieczeństwa, które uznamy za warte podjęcia działań, w sposób finansowy lub materialny, w zależności od wagi problemu.

Zgłaszanie

Jeśli uważasz, że znalazłeś/znalazłaś lukę bezpieczeństwa związaną z systemem Organizacji, prześlij raport o luce na adres zdefiniowany w polu KONTAKT opublikowanego pliku security.txt.

W swoim sprawozdaniu prosimy o zawarcie szczegółów, takich jak:

  • Witryna, IP lub strona, na której można zaobserwowaćlukę.
  • Krótki opis rodzaju luki, na przykład: "Luka w XSS".
  • Kroki do odtworzenia. Powinny one stanowić łagodny, nieniszczący dowód słuszności koncepcji. Pomaga to zapewnić szybkie i dokładne sklasyfikowanie luki. Zmniejsza również prawdopodobieństwo zduplikowania zgłoszenia lub złośliwego wykorzystania niektórych podatności, takich jak przejęcia subdomen.

Czego oczekiwać

Po przesłaniu zgłoszenia odpowiemy w ciągu 5 dni roboczych, a w ciągu 10 dni roboczych zajmiemy się jego rozwiązaniem. Będziemy również starali się informować Cię o naszych postępach.

Priorytet działań naprawczych jest oceniany na podstawie wpływu, wagi i złożoności problemu. Obsługa zgłoszeń o podatnościach może zająć trochę czasu. Możesz zapytać o status, ale nie rób tego częściej niż raz na 14 dni. Dzięki temu nasze zespoły będą mogły skupić się na usuwaniu błędów.

Powiadomimy Cię, gdy zgłoszona luka zostanie naprawiona, a Ty możesz zostać poproszony o potwierdzenie, że rozwiązanie odpowiednio eliminuje lukę.

Gdy luka zostanie usunięta, z radością przyjmiemy prośbę o ujawnienie Twojego raportu. Chcielibyśmy ujednolicić nasze wytyczne, więc prosimy o dalszą koordynację z nami w zakresie publicznego ujawniania informacji.

Wytyczne

NIE możesz:

  • Łamać jakichkolwiek obowiązujących przepisów prawa lub zasad.
  • Uzyskiwać dostępu do zbędnych, nadmiernych lub znacznych ilości danych.
  • Modyfikować danych w systemach lub usługach Organizacji.
  • Wykorzystywać narzędzi skanujących o wysokiej intensywności, inwazyjnych lub destrukcyjnych, w celu znalezienia podatności.
  • Próbować lub zgłaszać jakiejkolwiek formy odmowy usług, np. przeciążenia usługi dużą ilością żądań.
  • Zakłócać działania usług lub systemów Organizacji.
  • Przekazać raportów wyszczególniających luki, których nie można wykorzystać lub raportów wskazujących, że usługi nie są w pełni zgodne z "najlepszymi praktykami", takich jak np. brakujące nagłówki bezpieczeństwa.
  • Zgłaszać słabości w konfiguracji TLS, na przykład "słabego" wsparcia dla zestawów szyfrujących lub obecności wsparcia dla TLS1.0.
  • Przekazywać jakichkolwiek podatności lub związanych z nimi szczegółów w sposób inny niż opisany w opublikowanym pliku security.txt.
  • Wykorzystywać socjotechniki, "phishować" lub fizycznie atakować personel lub infrastrukturę organizacji.
  • Żądać rekompensaty finansowej w celu ujawnienia jakichkolwiek luk.

Musisz:

  • Zawsze stosować się do zasad ochrony danych i nie naruszać prywatności jakichkolwiek danych, które posiada Organizacja. Nie wolno np. udostępniać, redystrybuować lub nie zabezpieczać w odpowiedni sposób danych pobranych z systemów lub usług.
  • Bezpiecznie usunąć wszystkie dane pozyskane podczas testów, gdy tylko przestaną być potrzebne lub w ciągu 1 miesiąca od usunięcia luki, w zależności od tego, co nastąpi wcześniej (lub w inny sposób wymagany przez prawo ochrony danych).

Aspekty prawne

Polityka ta została opracowana w taki sposób, aby była zgodna z powszechnymi dobrymi praktykami ujawniania podatności. Nie daje ona pozwolenia na działanie w sposób niezgodny z prawem lub taki, który mógłby spowodować naruszenie przez Organizację lub organizacje partnerskie jakichkolwiek zobowiązań prawnych.