Przejdź do głównej zawartości

Polityka ujawniania podatności

VaultPAM poważnie traktuje bezpieczeństwo swojej platformy. Niniejsza polityka opisuje, jak zgłaszać podatności bezpieczeństwa oraz czego można od nas oczekiwać w trakcie procesu ujawniania.

Jak zgłosić

  • Wyślij wiadomość e-mail na adres security@vaultpam.com z opisem problemu, krokami umożliwiającymi jego odtworzenie oraz oceną wpływu.
  • W przypadku wrażliwych zgłoszeń poproś o nasz klucz PGP pod tym samym adresem przed przesłaniem szczegółów.
  • Nie ujawniaj podatności publicznie, dopóki nie potwierdzimy wdrożenia poprawki.

Bezpieczna przystań (safe harbour)

Polityka bezpiecznej przystani (safe harbour) już wkrótce — skontaktuj się z security@vaultpam.com w celu uzyskania szczegółów oczekujących na przegląd prawny.

Czego można od nas oczekiwać

  • Potwierdzenie otrzymania zgłoszenia w ciągu 5 dni roboczych.
  • Aktualizacje statusu co 10 dni roboczych w okresie badania problemu.
  • Wyróżnienie w informacjach o wydaniu (jeśli sobie tego życzysz) po udostępnieniu poprawki.

Skoordynowane ujawnianie

  • Stosujemy 90-dniowy harmonogram skoordynowanego ujawniania.
  • Będziemy współpracować z Tobą, aby uzgodnić datę ujawnienia, jeśli usunięcie podatności potrwa dłużej.
  • Krytyczne podatności objęte aktywnym wykorzystywaniem mogą zostać ujawnione wcześniej, po powiadomieniu klientów.

Poza zakresem

Poniższe kwestie pozostają poza zakresem niniejszej polityki:

  • Ataki typu odmowa usługi (Denial of Service)
  • Socjotechnika wobec pracowników VaultPAM
  • Problemy w usługach podmiotów trzecich, które nie podlegają naszej kontroli
  • Wyniki automatycznych skanerów bez wykazanego wpływu