Pravilnik o razkrivanju ranljivosti

Družba BORA Vertriebs GmbH & Co KG si vedno prizadeva za to, da svojim strankam ponuja izdelke/storitve z najvišjo kakovostjo in zanesljivostjo. Da bi dosegli ta cilj, preverimo vsako varnostno težavo, o kateri smo obveščeni in ki jo zaznajo zunanji strokovnjaki, partnerji ali stranke.

Ta smernica velja za vse varnostne vrzeli, o katerih bi nas radi obvestili. Priporočamo vam, da to smernico v celoti preberete ter ravnate v skladu z določili. Tako lahko zagotovite, da bodo varnostne vrzeli pravilno identificirane in obravnavane. Družba BORA Vertriebs GmbH & Co KG ceni čas in trud, ki ju vložite v obveščanje o varnostnih vrzelih. Vendar želimo poudariti, da družba BORA Vertriebs GmbH & Co KG ne predvideva denarnega nadomestila za obveščanje o varnostnih vrzelih.

Če menite, da ste odkrili varnostno vrzel, nam, prosimo, pošljite svoje poročilo prek naslednje povezave oz. elektronske pošte z naslednjimi podatki:

URL ali IP-naslov, na katerem je mogoče najti varnostno vrzel;
kratek opis vrste varnostne vrzeli (primer: »šibka točka XSS«);
koraki za reproduciranje. To naj bo nenevaren in nedestruktiven dokaz koncepta. To prispeva k hitri in natančni obdelavi poročila. Poleg tega zmanjša verjetnost dvojnih obvestil ali zlonamerne izrabe nekaterih šibkih točk, npr. prevzem poddomene.

Po prejemu vašega sporočila si ogledamo šibko točko/varnostno vrzel in jo odpravimo. Trudimo se, da se na vaše sporočilo odzovemo v 10 delovnih dneh ter da ga obdelamo v 14 delovnih dneh. Obveščamo vas tudi o našem napredku. Prioriteta korektivnih ukrepov je določena na podlagi učinkov, stopnje resnosti in kompleksnosti šibke točke. Kot znak hvaležnosti navedemo osebo, ki odkrije šibko točko, na naši strani z zahvalami, če ta oseba poda svoje soglasje.

Smernice

Ne smete:

kršiti veljavnih zakonov ali predpisov;
dostopati do nepotrebnih, prevelikih ali precejšnjih količin podatkov;
spreminjati podatkov v sistemih ali storitvah organizacije;
uporabljati invazivnih oz. uničujočih orodij za skeniranje z visoko intenzivnostjo, da bi odkrili šibke točke;
izvajati kakršnih koli poskusov ali posredovati sporočil za zavračanje storitve, npr. preobremenitev službe z velikim številom poizvedb;
povzročati motenj storitev ali sistemov organizacije;
predložiti poročil, v katerih so navedene šibke točke, ki jih ni mogoče izkoristiti, oz. poročil, ki opozarjajo na to, da storitve ne popolnoma ustrezajo najboljšim praksam, npr. manjkajoča varnostna glava;
posredovati poročil o šibkih točkah v konfiguraciji TLS, npr. podpora šibkemu naboru algoritmov (Cipher Suite) ali obstoj podpore TLS1.0;
deliti informacij o šibkih točkah ali podrobnosti o njih na drug način, ki ni opisan v objavljenem dokumentu security.txt;
izvajati socialnega inženiringa, lažnega predstavljanja ali drugih fizičnih napadov na osebje oz. infrastrukturo organizacije;
zahtevati finančnega nadomestila za razkritje šibkih točk.

Morate:

vedno upoštevati določila o varstvu podatkov in ne smete kršiti zasebnosti uporabnikov, sodelavcev, izvajalcev storitev, storitev ali sistemov organizacije. Ne smete npr. posredovati podatkov, ki jih prikličejo sistemi ali storitve, jih deliti oz. neustrezno shraniti;
varno izbrisati vse podatke, ki ste jih prejeli v okviru svojega raziskovanja, takoj ko jih ne potrebujete več oz. v roku enega meseca po odpravi šibke točke, odvisno od tega, kaj nastopi prej (oz. kaj je predpisano v Zakonu o varstvu podatkov).

Pravne informacije

Ta smernica je zasnovana tako, da je za osebe, ki odkrijejo šibke točke in upoštevajo navodila, opuščen kazenski pregon.

Obveščanje o šibkih točkah

Če odkrijete šibke točke v sistemih IT in na spletnih mestih družbe BORA Vertriebs GmbH & Co KG oz. izdelkih, ki jih prodaja družba BORA Vertriebs GmbH & Co KG, prosimo, da nas o tem obvestite. Nato bomo nemudoma izvedli ukrepe, s katerimi bomo čim prej odpravili odkrito šibko točko.

V ta namen ravnajte, kot sledi:

Pred posredovanjem obvestila se seznanite s primeri, ki ne sodijo v področje veljavnosti našega Pravilnika o razkrivanju ranljivosti in ki ne bodo obdelani znotraj tega okvirja.
Svoje rezultate, povezane z varnostno težavo, nam pošljite prek elektronske pošte na naslov security@bora.com.
Ne izkoriščajte šibke točke oz. težave, tako da na primer prenesete podatke, jih spreminjate ali izbrišete oz. naložite kodo.
Informacij o šibki točki ne posredujte tretjim osebam ali institucijam, razen če to izrecno odobri družba BORA Vertriebs GmbH & Co KG.
Ne izvajajte napadov na naše sisteme IT, ki ogrožajo varnost infrastrukture in oseb, jih spreminjajo ali manipulirajo z njimi.
Ne izvajajte socialnega inženiringa (npr. lažno predstavljanje), (porazdeljenih) napadov za zavrnitev storitve, pošiljanja vsiljene pošte ali drugih napadov na družbo BORA Vertriebs GmbH & Co KG.
Posredujte nam dovolj informacij, da lahko reproduciramo težavo in jo analiziramo. Prosimo, da navedete tudi svoje podatke za stik, ki jih lahko uporabimo v primeru dodatnih vprašanj.