Polityka ujawniania podatności
VaultPAM poważnie traktuje bezpieczeństwo swojej platformy. Niniejsza polityka opisuje, jak zgłaszać podatności bezpieczeństwa oraz czego można od nas oczekiwać w trakcie procesu ujawniania.
Jak zgłosić
- Wyślij wiadomość e-mail na adres security@vaultpam.com z opisem problemu, krokami umożliwiającymi jego odtworzenie oraz oceną wpływu.
- W przypadku wrażliwych zgłoszeń poproś o nasz klucz PGP pod tym samym adresem przed przesłaniem szczegółów.
- Nie ujawniaj podatności publicznie, dopóki nie potwierdzimy wdrożenia poprawki.
Bezpieczna przystań (safe harbour)
Polityka bezpiecznej przystani (safe harbour) już wkrótce — skontaktuj się z security@vaultpam.com w celu uzyskania szczegółów oczekujących na przegląd prawny.
Czego można od nas oczekiwać
- Potwierdzenie otrzymania zgłoszenia w ciągu 5 dni roboczych.
- Aktualizacje statusu co 10 dni roboczych w okresie badania problemu.
- Wyróżnienie w informacjach o wydaniu (jeśli sobie tego życzysz) po udostępnieniu poprawki.
Skoordynowane ujawnianie
- Stosujemy 90-dniowy harmonogram skoordynowanego ujawniania.
- Będziemy współpracować z Tobą, aby uzgodnić datę ujawnienia, jeśli usunięcie podatności potrwa dłużej.
- Krytyczne podatności objęte aktywnym wykorzystywaniem mogą zostać ujawnione wcześniej, po powiadomieniu klientów.
Poza zakresem
Poniższe kwestie pozostają poza zakresem niniejszej polityki:
- Ataki typu odmowa usługi (Denial of Service)
- Socjotechnika wobec pracowników VaultPAM
- Problemy w usługach podmiotów trzecich, które nie podlegają naszej kontroli
- Wyniki automatycznych skanerów bez wykazanego wpływu