Responsible Disclosure

Polityka odpowiedzialnego ujawniania podatności. Dziękujemy badaczom bezpieczeństwa za odpowiedzialne zgłaszanie luk.

Zakres

Niniejsza polityka dotyczy podatności wykrytych w infrastrukturze i aplikacjach należących do SecureWarp, w tym:

  • Domeny głównej i subdomen securewarp.pl
  • Aplikacji webowych i API dostępnych publicznie
  • Infrastruktury technicznej obsługiwanej przez SecureWarp

Polityka nie obejmuje podatności w systemach zewnętrznych dostawców lub klientów SecureWarp.

Zasady zgłaszania

Prosimy badaczy bezpieczeństwa o przestrzeganie następujących zasad:

  • Nie wyrządzaj szkód — nie modyfikuj, nie usuwaj ani nie uzyskuj dostępu do danych innych użytkowników
  • Nie zakłócaj działania usług — unikaj ataków DoS, skanowania masowego i automatycznych ataków brute-force
  • Nie ujawniaj publicznie — nie publikuj informacji o podatności przed otrzymaniem potwierdzenia jej naprawy lub przed upływem terminu koordynowanego ujawnienia
  • Działaj w dobrej wierze — zgłoszenia muszą dotyczyć realnych podatności bezpieczeństwa

Harmonogram odpowiedzi

  • Potwierdzenie przyjęcia: do 3 dni roboczych
  • Wstępna ocena: do 7 dni roboczych
  • Aktualizacja statusu: co 14 dni
  • Naprawa podatności krytycznych: do 30 dni
  • Koordynowane ujawnienie: po naprawie lub po 90 dniach

Nagrody

SecureWarp nie prowadzi formalnego programu bug bounty z nagrodami finansowymi. Za odpowiedzialne zgłoszenia oferujemy:

  • Publiczne podziękowanie w sekcji Hall of Fame (za zgodą badacza)
  • Potwierdzenie na LinkedIn lub w formie listu referencyjnego
  • Możliwość rozmowy o współpracy

Wyłączenia

Następujące rodzaje zgłoszeń są wyłączone z zakresu polityki:

  • Podatności wymagające dostępu fizycznego do urządzenia
  • Ataki socjotechniczne na pracowników SecureWarp
  • Problemy z konfiguracją DNS niebędące podatnościami bezpieczeństwa
  • Wersje oprogramowania bez udokumentowanego wpływu bezpieczeństwa
  • Podatności w systemach zewnętrznych, które nie są pod kontrolą SecureWarp

Ochrona prawna

SecureWarp nie będzie podejmować działań prawnych wobec badaczy działających w dobrej wierze, zgodnie z niniejszą polityką. Traktujemy odpowiedzialne zgłoszenia jako wartościowy wkład w bezpieczeństwo naszych systemów.

KONTAKT BEZPIECZEŃSTWA

Zgłoszenia podatności prosimy kierować na adres: security [at] securewarp.pl

W treści wiadomości prosimy podać: opis podatności, kroki reprodukcji, potencjalny wpływ oraz Twoje dane kontaktowe (opcjonalnie).

Szczegóły techniczne dostępne w pliku .well-known/security.txt