logo

Hleður...

Ábyrg Uppljóstrunarstefna

Við kunnum vel að meta viðleitni þína til að hjálpa okkur að halda þjónustu okkar öruggri.

Skuldbinding Okkar

Hjá ITGOIT teljum við öryggi kerfa okkar forgangsatriði. Hins vegar, sama hversu mikið við leggjum okkur fram, geta veikleikar samt verið til staðar. Ef þú uppgötvar veikleika viljum við gjarnan vita af því svo við getum brugðist við eins fljótt og auðið er. Við viljum biðja þig um að hjálpa okkur að vernda viðskiptavini okkar og kerfi betur.

Hvernig á að Tilkynna Veikleika

Vinsamlegast sendu niðurstöður þínar með því að nota hnappinn hér að neðan. Við hvetjum þig eindregið til að dulkóða skilaboðin þín með OpenPGP lyklinum okkar til að vernda upplýsingarnar. Vinsamlegast fylgdu reglunum hér að neðan:

  • Gefðu nægar upplýsingar til að bera kennsl á vandamálið svo við getum brugðist við eins fljótt og auðið er. IP-tala eða vefslóð kerfisins og lýsing á niðurstöðum þínum eru oft nægjanlegar. Hins vegar gæti þurft frekari upplýsingar fyrir flóknari vandamál.
  • Skildu eftir tengiliðaupplýsingar þínar svo við getum haft samband við þig.
  • Tilkynntu niðurstöður þínar til okkar eins fljótt og auðið er eftir uppgötvun.
  • Ekki deila upplýsingum um niðurstöður þínar með neinum nema tilnefndum aðilum hjá ITGOIT.
  • Farðu varlega með þekkingu á niðurstöðum þínum og notaðu hana aðeins til að upplýsa okkur um það sem þú hefur uppgötvað.
Tilkynna með Tölvupósti

Gildissvið

Innan Gildissviðs

  • Allar lén eða þjónustur sem eru beint í eigu ITGOIT, svo sem itgoit.nl og undirlén þess.
  • Vefumsóknir og API sem snúa að viðskiptavinum okkar.
  • Bakenda innviðir sem styðja beint við þjónustur innan gildissviðs.

Hvað þú þarft ekki að tilkynna (Utan gildissviðs)

  • Smellurán (Clickjacking) á síðum án viðkvæmra aðgerða og án skjalfestrar smelliraðar sem getur misnotað viðkvæma virkni.
  • Cross-Site Request Forgery (CSRF) fyrir óverulegar aðgerðir.
  • CORS rangstillingar þegar Credentials-hausinn er ekki stilltur.
  • Vantandi HTTP öryggishausa sem leiða ekki beint til veikleika (t.d. CSP, HSTS, X-Content-Type-Options, o.s.frv.).
  • Vantandi bestu starfsvenjur í SSL/TLS uppsetningu.
  • Vantandi bestu starfsvenjur í Content Security Policy.
  • Vantandi bestu starfsvenjur fyrir tölvupóst (Ógildar, ófullkomnar eða vantandi SPF/DKIM/DMARC færslur, o.s.frv.).
  • Vantandi kökufánar á kökum sem geyma ekki setu- eða aðrar viðkvæmar upplýsingar.
  • Upplýsingalekur – sjálfgefnar stillingarskrár án viðkvæmra gagna.
  • Opnir áframvísunarveikleikar sem sýna ekki fram á viðbótaröryggisáhrif.
  • Fölsun efnis og textainnskot án þess að sýna fram á árásarferil eða geta breytt HTML/CSS.
  • Host-haus innskot án sýnilegra áhrifa.
  • Veikleikar sem tilkynntir eru stuttu eftir opinbera birtingu þeirra (vinsamlegast gefið hæfilegan tíma til að plástra).
  • Veikleikaskýrslur frá sjálfvirkum verkfærum án staðfestingar.

Friðhelgi (Safe Harbor)

Við teljum að aðgerðir sem samræmast þessari stefnu séu heimiluð framkoma. Að því marki sem aðgerðir þínar samræmast þessari stefnu munum við ekki hefja málsókn eða lögreglurannsókn gegn þér vegna tilkynningar þinnar. Við vonum að þú munir á móti ekki grípa til neinna lögfræðilegra aðgerða gegn ITGOIT.