Vastuullisen haavoittuvuuksien ilmoittamisen käytäntö

Suhtaudumme turvallisuuteen vakavasti ja arvostamme yhteisön apua järjestelmiemme suojauksen parantamisessa.

Sitoumuksemme

Järjestelmiemme turvallisuus ja asiakkaidemme tietojen suojaaminen ovat meille ensisijaisen tärkeitä. Kannustamme tietoturvatutkijoita ilmoittamaan vastuullisesti kaikista mahdollisista haavoittuvuuksista, joita he havaitsevat.

Soveltamisala

Tämä käytäntö koskee verkkosivustoamme, sovelluksiamme, julkisesti saatavilla olevia verkkopalveluja sekä API-rajapintoja.

Mitä pyydämme teiltä

Jos löydät haavoittuvuuden, pyydämme sinua:

• Ottamaan meihin välittömästi yhteyttä käyttämällä yhteystietoja, jotka on ilmoitettu security.txt-tiedostossamme
• Olemaan julkaisematta haavoittuvuutta julkisesti ennen kuin meillä on ollut aikaa korjata se
• Olemaan hyödyntämättä haavoittuvuutta enempää kuin sen todentamiseen on tarpeen
• Olemaan lukematta, muokkaamatta tai poistamatta muiden käyttäjien tietoja
• Olemaan häiritsemättä palvelujamme tai infrastruktuuriamme

Sitoumuksemme teitä kohtaan

• Vahvistamme ilmoituksen vastaanoton 3 arkipäivän kuluessa
• Pidämme teidät ajan tasalla korjauksen etenemisestä
• Emme ryhdy oikeustoimiin tutkijoita vastaan, jotka toimivat vilpittömässä mielessä ja noudattavat tätä käytäntöä
• Mainitsemme teidät halutessanne hyvityksen yhteydessä, kun korjauksesta viestitään

Soveltamisalan ulkopuoliset haavoittuvuudet

Seuraavat asiat eivät kuulu tämän käytännön piiriin:

• Palvelunestohyökkäykset (DoS/DDoS)
• Sosiaalinen manipulointi tai tietojenkalastelu, joka kohdistuu työntekijöihimme
• Fyysiset hyökkäykset toimitiloihimme tai laitteisiimme
• Haavoittuvuudet kolmansien osapuolten palveluissa, joita käytämme

Yhteydenotto

Haavoittuvuuden ilmoittamiseen tarkoitetut yhteystiedot löytyvät security.txt-tiedostostamme.

Pyydämme toimittamaan mahdollisimman paljon tietoa: haavoittuvuuden kuvauksen, vaiheet sen toistamiseksi, mahdollisen vaikutuksen sekä korjausehdotukset.