Polityka odpowiedzialnego ujawniania danych
W firmie Alfen traktujemy bezpieczeństwo systemów jako najwyższy priorytet. Jednak bez względu na to, jakie starania podejmujemy w kwestii bezpieczeństwa systemów, luki w zabezpieczeniach mogą nadal występować.
Jeżeli odkryjesz taką lukę, pragniemy o tym wiedzieć, aby móc jak najszybciej podjąć działania w celu jej zlikwidowania. Chcielibyśmy prosić o pomoc w lepszej ochronie naszych klientów i naszych systemów.
Wykonaj następujące czynności:
- Prześlij swoje spostrzeżenia e-mailem na adres security@alfen.com.
- Nie wykorzystuj wykrytej luki ani problemu, np. do pobrania większej ilości danych niż jest konieczna do zilustrowania luki lub do usuwania czy też modyfikacji danych innych osób,
- Nie ujawniaj problemu innym osobom, dopóki nie zostanie rozwiązany,
- Nie stosuj ataków na bezpieczeństwo fizyczne systemu ani w postaci inżynierii społecznej, rozproszonej odmowy usług, przesyłania spamu ani aplikacji od osób trzecich, oraz
- Podaj informacje wystarczające do odtworzenia problemu, tak aby umożliwić nam jego jak najszybsze rozwiązanie. Zwykle wystarczy adres IP lub URL zagrożonego systemu wraz z opisem luki, jednak bardziej złożone luki mogą wymagać dokładniejszych wyjaśnień.
Co obiecujemy:
- Odpowiemy na Twoje zgłoszenie w ciągu 3 dni roboczych. W odpowiedzi przedstawimy własną ocenę zgłoszenia i podamy przewidywaną datę rozwiązania problemu.
- Jeżeli postąpiłeś(-aś) zgodnie z instrukcjami powyżej, nie podejmiemy przeciwko Tobie żadnych kroków prawnych w związku z doniesieniem o lukach.
- Będziemy traktować Twoje doniesienie z zachowaniem zasad ścisłej poufności i nie przekażemy Twoich danych osobowych osobom trzecim bez Twojej zgody.
- Będziemy na bieżąco informować Cię o postępach w rozwiązywaniu problemu.
- W informacjach na temat zgłoszonego problemu przekazywanych do wiadomości publicznej podamy Twoje imię i nazwisko jako osoby, która ujawniła problem (chyba że zgłosisz inne żądanie).
- Jako dowód wdzięczności za pomoc oferujemy nagrodę za każde zgłoszenie nieznanego jeszcze problemu dotyczącego bezpieczeństwa. Wysokość nagrody określimy w zależności od powagi wycieku danych i jakości zgłoszenia.
Robimy wszystko, aby rozwiązywać wszelkie problemy jak najszybciej i pragniemy odgrywać aktywną rolę w ostatecznej publikacji dotyczącej problemu po jego rozwiązaniu.