Ábyrg upplýsingagjöf um öryggisgalla
Við metum mikils vinnu þína við að hjálpa okkur að halda þjónustum okkar öruggum.
Responsible Disclosure
Okkar loforð
Hjá ITGOIT lítum við á öryggi kerfa okkar sem algjört forgangsatriði. Sama hversu mikla vinnu við leggjum í öryggi kerfa geta öryggisgallar alltaf verið til staðar. Ef þú uppgötvar öryggisgalla viljum við fá að vita af því svo við getum gert ráðstafanir til að laga hann eins fljótt og auðið er. Við biðjum þig um að hjálpa okkur að vernda viðskiptavini okkar og kerfi betur.
Umfang
Innan umfangs
- Hvaða lén eða þjónusta sem er í eigu ITGOIT, eins og itgoit.nl og undirlén þess.
- Vefforrit og API viðmót sem snúa að viðskiptavinum okkar.
- Bakendakerfi sem styðja beint við þjónustur sem falla undir umfangið.
Það sem þú þarft EKKI að tilkynna (Utan umfangs)
- Clickjacking á síðum þar sem engar viðkvæmar aðgerðir eiga sér stað og án skráðrar atburðarásar sem sýnir fram á misnotkun.
- Cross-Site Request Forgery (CSRF) fyrir óverulegar aðgerðir.
- CORS misstillingar þegar Credentials hausinn er ekki til staðar.
- Vöntun á HTTP öryggishausum sem leiða ekki beint til öryggisgalla (t.d. CSP, HSTS, X-Content-Type-Options osfrv.).
- Vöntun á bestu framkvæmdum (best practices) í SSL/TLS uppsetningu.
- Vöntun á bestu framkvæmdum í Content Security Policy.
- Vöntun á bestu framkvæmdum fyrir tölvupóst (Ógildar, ófullkomnar eða vantar SPF/DKIM/DMARC færslur osfrv.).
- Cookie flags sem vantar á kökur (cookies) sem innihalda engar viðkvæmar setu- eða kerfisupplýsingar.
- Upplýsingaleki – sjálfgefnar stillingarskrár sýnilegar án viðkvæmra gagna.
- Open redirect veikleikar sem sýna ekki fram á frekari öryggisáhættu.
- Spoofing eða textainndæling án þess að sýna fram á raunverulega árásarleið eða getu til að breyta HTML/CSS.
- Host header inndæling án sannanlegra áhrifa.
- Öryggisgallar tilkynntir stuttu eftir opinbera birtingu (vinsamlegast gefðu hæfilegan tíma fyrir uppfærslur).
- Tilkynningar úr sjálfvirkum skönnunartólum án frekari sannprófunar.
Safe Harbor (Örugg höfn)
Við lítum á aðgerðir sem eru í samræmi við þessa stefnu sem heimilaða hegðun. Að því marki sem aðgerðir þínar samræmast þessari stefnu munum við ekki hefja lögsókn né óska eftir lögreglurannsókn á hendur þér vegna tilkynningar þinnar. Við vonum á móti að þú munir ekki hefja lögsókn gegn ITGOIT.
Hvernig á að tilkynna öryggisgalla
Vinsamlegast sendu okkur upplýsingar með því að nota hnappinn hér að neðan. Við mælum eindregið með því að þú dulkóðir skilaboðin þín með OpenPGP lyklinum okkar til að vernda upplýsingarnar. Vinsamlegast fylgdu eftirfarandi reglum:
- Gefðu upp nægjanlegar upplýsingar til að greina vandamálið svo við getum tekið á því sem fyrst. IP tölur eða vefslóðir kerfisins ásamt lýsingu á gallanum duga oft. Hins vegar gæti þurft frekari upplýsingar vegna flókinna vandamála.
- Skildu eftir tengiliðaupplýsingar svo við getum haft samband við þig.
- Tilkynntu okkur um niðurstöður þínar eins fljótt og auðið er eftir að gallinn fannst.
- Ekki deila upplýsingum um galla með neinum öðrum en tilnefndum aðilum hjá ITGOIT.
- Farðu varlega með þær upplýsingar sem þú finnur og notaðu þær aðeins til að upplýsa okkur.