Polityka ujawniania luk w zabezpieczeniach

Polityka ujawniania luk w zabezpieczeniach

SharkNinja i jej podmioty stowarzyszone („SharkNinja”) zobowiązują się do ochrony poufności danych osobowych konsumentów i pracowników oraz dostępności swoich stron internetowych i systemów informatycznych.

Niniejsza polityka ma na celu zapewnienie badaczom bezpieczeństwa jasnych wytycznych dotyczących prowadzenia działań związanych z wykrywaniem luk w zabezpieczeniach oraz przekazanie naszych preferencji dotyczących sposobu zgłaszania wykrytych luk do naszej oceny.

Zachęcamy do kontaktowania się z nami w celu zgłaszania luk w zabezpieczeniach naszych stron internetowych, systemów i produktów.

Jeśli podczas badań nad bezpieczeństwem podejmiesz działania w dobrej wierze, aby zachować zgodność z niniejszą polityką, uznamy Twoje badania za autoryzowane i będziemy współpracować z Tobą w celu szybkiego zrozumienia i rozwiązania zgłoszonych problemów. SharkNinja nie będzie zalecać ani podejmować działań prawnych związanych z Twoimi badaniami.

Należy pamiętać, że SharkNinja nie prowadzi programu nagród za wykrycie błędów i nie oferuje nagród ani wynagrodzenia w zamian za zgłoszenie potencjalnych problemów związanych z bezpieczeństwem lub luk w zabezpieczeniach.

Wytyczne

SharkNinja sugeruje następujące wytyczne dla badaczy, którzy mogą zgłaszać luki w zabezpieczeniach lub prowadzić legalne badania. W niniejszej polityce „badania” oznaczają działania, w ramach których:

  • Powiadamiasz nas jak najszybciej po wykryciu rzeczywistego lub potencjalnego problemu bezpieczeństwa,
  • Dokładasz wszelkich starań, aby uniknąć naruszenia prywatności, pogorszenia komfortu użytkowania, zakłócenia działania systemów produkcyjnych oraz zniszczenia lub manipulacji danymi,
  • Wykorzystujesz luki tylko w zakresie niezbędnym do potwierdzenia ich istnienia,
  • Nie wykorzystujesz exploitów do naruszania bezpieczeństwa lub wykradania danych, uzyskiwania trwałego nieuprawnionego dostępu ani wykorzystywania exploitów do przechodzenia do innych systemów,
  • Dajesz nam rozsądny czas na rozwiązanie problemu przed jego publicznym ujawnieniem.

Po stwierdzeniu istnienia luki w zabezpieczeniach lub napotkaniu jakichkolwiek danych wrażliwych (w tym danych osobowych, finansowych, zastrzeżonych lub stanowiących tajemnicę handlową jakiejkolwiek strony) należy przerwać testy, niezwłocznie powiadomić nas o tym fakcie i nie ujawniać tych danych nikomu innemu.

Zgłaszanie luk w zabezpieczeniach

Aby zgłosić lukę w zabezpieczeniach, należy wysłać wiadomość e-mail na adres [email protected].

Aby pomóc nam w klasyfikacji i ustaleniu priorytetów zgłoszeń, zalecamy, aby zgłoszenie zawierało następujące informacje:

  • Kiedy wykryto lukę lub problem,
  • Opis systemu lub produktu, w którym wykryto lukę,
  • Opis kroków niezbędnych do odtworzenia luki,
  • Wszelkie sugestie lub pomysły dotyczące usunięcia luki.

Ocena luki i potwierdzenie

Pracownicy SharkNinja przeanalizują i ocenią wszystkie zgłoszone luki i zobowiązują się do potwierdzenia zgłoszeń w ciągu 3 dni roboczych.

Po ocenie, jeśli luka zostanie potwierdzona, podejmiemy odpowiednie działania naprawcze. Zobowiązujemy się do terminowego i odpowiedzialnego usuwania potwierdzonych luk, nadając priorytet problemom w zależności od ich powagi i potencjalnego wpływu.

Powiadomimy Cię, gdy status luki zostanie zamknięty, a Ty możesz zostać poproszony o potwierdzenie, że rozwiązanie odpowiednio obejmuje lukę.

Zakres

Zakres tego programu obejmuje:

  • Wszystkie strony internetowe SharkNinja będące własnością lub licencjonowane przez firmę,
  • Wszystkie systemy biznesowe dostępne w Internecie,
  • Produkty podłączone do Internetu i powiązane aplikacje mobilne.

Program nie obejmuje:

  • Kampanii socjotechnicznych lub phishingowych skierowanych przeciwko pracownikom SharkNinja,
  • Ataków typu „odmowa usługi” (DoS) na strony internetowe SharkNinja lub aplikacje biznesowe,
  • Wszelkich innych nieautoryzowanych działań mających na celu wyrządzenie szkody.