Efficlose

Zásady zveřejňování zranitelností

Zásady zveřejňování zranitelností Efficlose. Zjistěte, jak nám odpovědně nahlásit bezpečnostní zranitelnosti.

Poslední aktualizace: 21. prosince 2025

Úvod

Efficlose se snaží pomoci našim partnerům a zákazníkům minimalizovat rizika spojená s bezpečnostními zranitelnostmi v našich produktech. Jsme odhodláni udržovat průmyslové osvědčené postupy v oblasti bezpečnosti a zpracování zranitelností a usilujeme o poskytnutí zákazníkům včasných informací, pokynů a možností zmírnění k řešení zranitelností.

Zpracování hlášení o zranitelnostech

Vážíme si poznatků průmyslových partnerů a bezpečnostních výzkumníků a oceňujeme všechny příspěvky k našim bezpečnostním iniciativám. Naším cílem je zajistit, aby byly nápravy a/nebo strategie zmírnění k dispozici v době zveřejnění zranitelností specifických pro Efficlose, a spolupracovat s dodavateli třetích stran, když náprava vyžaduje jejich spolupráci.

Pokud se domníváte, že jste objevili zranitelnost, problém se soukromím, vystavená data nebo jiné bezpečnostní problémy v kterémkoli z našich aktiv, chceme od vás slyšet. Tato zásada popisuje kroky pro hlášení zranitelností nám, co očekáváme, a co můžete očekávat od nás.

Podle této zásady jsou všechny informace zveřejněné o nových zranitelnostech považovány za důvěrné a budou sdíleny pouze mezi Efficlose a hlášející stranou, pokud informace již nejsou veřejně známé, dokud není k dispozici náprava a aktivity zveřejňování nejsou koordinovány.

Systémy v rozsahu

Tato zásada se vztahuje na jakákoli aktiva vlastněná, provozovaná nebo udržovaná společností Efficlose, včetně:

  • Webové stránky Efficlose a webové aplikace
  • Mobilní aplikace Efficlose
  • API Efficlose a backendové služby
  • Jakákoli jiná digitální aktiva pod doménou efficlose.com

Mimo rozsah

Následující jsou považovány za mimo rozsah této zásady:

  • Aktiva nebo jiné vybavení nevlastněné společností Efficlose
  • Služby třetích stran integrované s Efficlose (tyto by měly být nahlášeny příslušnému dodavateli)
  • Útoky sociálního inženýrství proti zaměstnancům nebo dodavatelům Efficlose
  • Fyzické bezpečnostní zranitelnosti
  • Útoky typu Denial of Service (DoS)

Zranitelnosti objevené nebo podezřelé v systémech mimo rozsah by měly být nahlášeny příslušnému dodavateli nebo příslušnému orgánu.

Naše závazky

Při práci s námi podle této zásady můžete očekávat, že:

  • Reagujeme rychle: Potvrdíme vaše hlášení do 3 pracovních dnů a budeme s vámi spolupracovat na pochopení a ověření vašeho hlášení.
  • Vás budeme informovat: Budeme se snažit vás informovat o pokroku zranitelnosti, jak je zpracovávána.
  • Nápravíme rychle: Budeme pracovat na rychlé nápravě objevených zranitelností v rámci našich provozních omezení.
  • Poskytneme bezpečný přístav: Poskytujeme ochranu bezpečného přístavu pro váš výzkum zranitelností související s touto zásadou.
  • Uvedeme výzkumníky: S vaším souhlasem uznáme váš příspěvek v našich bezpečnostních doporučeních.

Naše očekávání

Při účasti na našem programu zveřejňování zranitelností v dobré víře vás žádáme, abyste:

  • Dodržovali pravidla: Hrajte podle pravidel, včetně dodržování této zásady a dalších relevantních dohod. Pokud existuje jakákoli nesrovnalost mezi touto zásadou a jakýmikoli jinými platnými podmínkami, podmínky této zásady mají přednost.
  • Hlásili rychle: Rychle nahlaste jakoukoli zranitelnost, kterou jste objevili.
  • Respektovali soukromí: Vyhněte se porušování soukromí jiných, narušování našich systémů, ničení dat a/nebo poškozování uživatelského zážitku.
  • Používali oficiální kanály: Používejte pouze oficiální kanály k diskusi o informacích o zranitelnostech s námi.
  • Poskytli rozumný čas: Poskytněte nám rozumné množství času (minimálně 90 dní od počátečního hlášení) k vyřešení problému, než ho zveřejníte veřejně.
  • Zůstali v rozsahu: Provádějte testování pouze na systémech v rozsahu a respektujte systémy a aktivity, které jsou mimo rozsah.
  • Omezili přístup k datům: Pokud zranitelnost poskytuje neúmyslný přístup k datům, omezte množství dat, ke kterým přistupujete, na minimum potřebné k efektivní demonstraci Proof of Concept. Také přestaňte testovat a okamžitě odešlete hlášení, pokud během testování narazíte na jakákoli uživatelská data, jako jsou osobně identifikovatelné informace (PII), osobní zdravotní informace (PHI), data kreditních karet nebo vlastnické informace.
  • Používali testovací účty: Měli byste komunikovat pouze s testovacími účty, které vlastníte, nebo s výslovným souhlasem držitele účtu.
  • Zachovali důvěrnost: Nezveřejňujte detaily zranitelnosti, dokud Efficlose nepotvrdí opravu.
  • Neukládali data: Neukládejte žádná data objevená během procesu testování.
  • Žádné vydírání: Nezapojujte se do vydírání.

Oficiální kanály

Prosím nahlaste bezpečnostní problémy prostřednictvím [email protected], poskytněte všechny relevantní informace. Čím více detailů poskytnete, tím rychleji můžeme problém třídit a řešit.

Při odesílání hlášení prosím zahrňte:

  • Popis zranitelnosti
  • Kroky k reprodukci problému
  • Potenciální dopad zranitelnosti
  • Jakýkoli proof-of-concept kód nebo snímky obrazovky
  • Vaše kontaktní informace pro následné otázky

Bezpečný přístav

Při provádění výzkumu zranitelností podle této zásady považujeme tento výzkum za:

  • Autorizovaný týkající se zákonů proti hackování: Nezahájíme ani nepodpoříme právní kroky proti vám za náhodná, dobrá víra porušení této zásady.
  • Autorizovaný týkající se zákonů proti obcházení: Nepodáme nárok proti vám za obcházení technologických kontrol.
  • Osvobozený od omezení Podmínek služby: Zrušíme omezení v našich Podmínkách služby (TOS) a/nebo Zásadách přijatelného použití (AUP), která by interferovala s prováděním bezpečnostního výzkumu na omezeném základě.
  • Zákonný a v dobré víře: Váš výzkum je považován za zákonný, užitečný pro celkovou bezpečnost internetu a prováděný v dobré víře.

Očekává se, že budete dodržovat všechny platné zákony ve svém výzkumu, testování a hlášení. Pokud třetí strana zahájí právní kroky proti vám a vy jste dodržovali tuto zásadu, podnikneme kroky k tomu, aby bylo známo, že vaše akce byly provedeny v souladu s touto zásadou.

Pokud máte obavy nebo si nejste jisti, zda je váš bezpečnostní výzkum v souladu s touto zásadou kdykoli, prosím odešlete hlášení na [email protected].

Všimněte si, že bezpečný přístav se vztahuje pouze na právní nároky pod kontrolou Efficlose a že zásada nezavazuje nezávislé třetí strany.

Časový harmonogram odpovědi

Usilujeme o dodržování těchto časových harmonogramů odpovědi:

AkceČasový harmonogram
Počáteční potvrzeníDo 3 pracovních dnů
Třídění a počáteční posouzeníDo 7 pracovních dnů
Aktualizace stavuKaždých 14 dní během vyšetřování
Cíl řešeníDo 90 dní pro většinu zranitelností

Uznání

Věříme v uznání cenných příspěvků bezpečnostních výzkumníků. S vaším souhlasem budeme:

  • Uznáme vás v našich bezpečnostních doporučeních
  • Zahrneme vás do naší Síně slávy bezpečnostních výzkumníků (pokud je to použitelné)
  • Poskytneme dopis ocenění na požádání

Změny této zásady

Můžeme tuto zásadu čas od času revidovat. Nejaktuálnější verze zásady bude řídit naše zpracování hlášení o zranitelnostech a bude vždy k dispozici na vulnerability-disclosure.

Kontaktujte nás

Pokud máte jakékoli otázky týkající se této Zásady zveřejňování zranitelností, kontaktujte nás na:

Děkujeme za vaši pomoc při ochraně Efficlose a našich uživatelů.