Security

V iKelp berieme bezpečnosť našich služieb, infraštruktúry a zákazníckych dát vážne. Ak sa domnievate, že ste objavili bezpečnostnú zraniteľnosť v niektorej službe, produkte, webovej stránke alebo súvisiacej infraštruktúre iKelp, nahláste nám ju zodpovedne.

Ako nahlásiť zraniteľnosť

Bezpečnostné hlásenia posielajte na:

security(at)ikelp.com

Pre rýchlejšie a presnejšie vyhodnotenie prosíme uveďte čo najviac z nasledujúcich informácií:

  • dotknutá doména, aplikácia alebo služba,
  • podrobný popis problému,
  • presný postup reprodukcie,
  • ukážku, screenshoty, logy alebo proof of concept,
  • odhad možného dopadu,
  • kontakt na vás pre prípad doplňujúcich otázok.

Náš prístup

Pri legitímnom bezpečnostnom reporte sa budeme snažiť:

  • potvrdiť prijatie hlásenia,
  • nález preveriť a vyhodnotiť,
  • určiť prioritu podľa závažnosti a dopadu,
  • primerane komunikovať počas riešenia.

Rozsah

Táto politika sa vzťahuje na služby prevádzkované spoločnosťou iKelp, vrátane verejných webových stránok, zákazníckych SaaS služieb, API rozhraní a podpornej infraštruktúry spravovanej iKelp.

Typicky sem patria napríklad:

  • *.ikelp.com
  • *.ikelp.cloud
  • ďalšie verejné služby, ktoré iKelp prevádzkuje.

Ak si nie ste istý, či konkrétny systém patrí pod iKelp, pošlite nám informácie a preveríme to.

Mimo rozsahu

Za bežných okolností nepovažujeme za relevantné najmä:

  • spam alebo emailové best-practice problémy bez reálneho bezpečnostného dopadu,
  • chýbajúce security hlavičky bez praktického scenára zneužitia,
  • clickjacking na stránkach bez citlivých operácií,
  • DoS, záťažové testovanie alebo pokusy o vyčerpanie zdrojov,
  • social engineering, phishing, pretexting alebo fyzické útoky,
  • útoky na systémy tretích strán, ktoré iKelp neprevádzkuje,
  • hlásenia založené iba na zastaranej verzii softvéru bez preukázateľného dopadu,
  • self-XSS alebo problémy vyžadujúce neprimerane nereálnu interakciu používateľa,
  • výstupy automatických skenerov bez analýzy a reprodukcie problému.

Pravidlá zodpovedného testovania

Prosíme:

  • konajte v dobrej viere,
  • minimalizujte zásahy do prevádzky a súkromia používateľov,
  • testujte len v rozsahu potrebnom na potvrdenie problému,
  • nepristupujte k dátam, ktoré vám nepatria,
  • neupravujte ani nemažte cudzie dáta,
  • po potvrdení zraniteľnosti ďalšie testovanie ukončite,
  • nahláste problém bez zbytočného odkladu.

Prosíme nerobte:

  • zneužitie zraniteľnosti nad rámec nutný na dôkaz,
  • vytváranie trvalých prístupov alebo backdoorov,
  • deštruktívne testovanie,
  • verejné zverejnenie problému pred jeho preverení a náprave.

Safe harbor

Ak konáte v dobrej viere, postupujete podľa tejto politiky, neporušujete súkromie, nespôsobujete výpadky a dáte nám primeraný čas na preverenie a opravu problému, iKelp nebude považovať takýto výskum za neoprávnený v rámci tejto politiky.

Táto zásada sa vzťahuje len na činnosti v súlade s touto politikou a nevzťahuje sa na konanie, ktoré porušuje právne predpisy, reguláciu alebo práva tretích strán.

Bug bounty

iKelp v súčasnosti neprevádzkuje verejný bug bounty program, pokiaľ nie je výslovne uvedené inak.

Kontakt

Bezpečnostné hlásenia: security(at)ikelp.com

Report môžete poslať v slovenčine alebo v angličtine.

Besteron VISA, MasterCard