Security

Ve společnosti iKelp bereme bezpečnost našich služeb, infrastruktury a zákaznických dat vážně. Pokud se domníváte, že jste objevili bezpečnostní zranitelnost v některé službě, produktu, webové stránce nebo související infrastruktuře iKelp, nahlaste nám ji odpovědně.

Jak nahlásit zranitelnost

Bezpečnostní hlášení zasílejte na:

security(at)ikelp.com

Pro rychlejší a přesnější vyhodnocení prosíme uveďte co nejvíce z následujících informací:

  • dotčená doména, aplikace nebo služba,
  • podrobný popis problému,
  • přesný postup reprodukce,
  • ukázku, screenshoty, logy nebo proof of concept,
  • odhad možného dopadu,
  • kontakt na vás pro případ doplňujících dotazů.

Náš přístup

U legitimních bezpečnostních hlášení se budeme snažit:

  • potvrdit přijetí hlášení,
  • nález prověřit a vyhodnotit,
  • stanovit prioritu podle závažnosti a dopadu,
  • přiměřeně komunikovat během řešení.

Rozsah

Tato politika se vztahuje na služby provozované společností iKelp, včetně veřejných webových stránek, zákaznických SaaS služeb, API rozhraní a podpůrné infrastruktury spravované iKelp.

Typicky sem patří například:

  • *.ikelp.com
  • *.ikelp.cloud
  • další veřejné služby, které iKelp provozuje.

Pokud si nejste jistý, zda konkrétní systém patří pod iKelp, pošlete nám informace a my to prověříme.

Mimo rozsah

Za běžných okolností nepovažujeme za relevantní zejména:

  • spam nebo emailové best-practice problémy bez reálného bezpečnostního dopadu,
  • chybějící security hlavičky bez praktického scénáře zneužití,
  • clickjacking na stránkách bez citlivých operací,
  • DoS, zátěžové testování nebo pokusy o vyčerpání zdrojů,
  • social engineering, phishing, pretexting nebo fyzické útoky,
  • útoky na systémy třetích stran, které iKelp neprovozuje,
  • hlášení založená pouze na zastaralé verzi softwaru bez prokazatelného dopadu,
  • self-XSS nebo problémy vyžadující nereálně vysokou míru interakce uživatele,
  • výstupy automatických skenerů bez analýzy a reprodukce problému.

Pravidla odpovědného testování

Prosíme:

  • jednejte v dobré víře,
  • minimalizujte zásahy do provozu a soukromí uživatelů,
  • testujte jen v rozsahu nutném k potvrzení problému,
  • nepřistupujte k datům, která vám nepatří,
  • neupravujte ani nemažte cizí data,
  • po potvrzení zranitelnosti další testování ukončete,
  • nahlaste problém bez zbytečného odkladu.

Prosíme nedělejte:

  • zneužití zranitelnosti nad rámec nutný pro důkaz,
  • vytváření trvalého přístupu nebo backdoorů,
  • destruktivní testování,
  • veřejné zveřejnění problému před jeho prověřením a nápravou.

Safe harbor

Pokud jednáte v dobré víře, postupujete podle této politiky, neporušujete soukromí, nezpůsobujete výpadky a dáte nám přiměřený čas na prověření a opravu problému, iKelp nebude takový výzkum v rámci této politiky považovat za neoprávněný.

Tato zásada se vztahuje pouze na činnosti v souladu s touto politikou a nevztahuje se na jednání, které porušuje právní předpisy, regulaci nebo práva třetích stran.

Bug bounty

iKelp v současnosti neprovozuje veřejný bug bounty program, pokud není výslovně uvedeno jinak.

Kontakt

Bezpečnostní hlášení: security(at)ikelp.com

Report můžete poslat v češtině nebo angličtině.

Besteron VISA, MasterCard