Responsible Disclosure / Vulnerability Disclosure Policy
Společnost LinuxBox.cz s.r.o. bere bezpečnost svých produktů a služeb velmi vážně. Vítáme spolupráci s bezpečnostními výzkumníky a odbornou veřejností při identifikaci a zodpovědném hlášení bezpečnostních zranitelností.Jak nám zranitelnost nahlásit
Pokud jste objevili bezpečnostní zranitelnost v našich produktech nebo službách, kontaktujte nás prosím na:
Do zprávy prosím uveďte:
- Popis zranitelnosti a dotčeného produktu nebo služby
- Kroky k reprodukci
- Potenciální dopad
- Případný návrh na opravu
Co od nás můžete očekávat
Akce | Lhůta |
|---|---|
Potvrzení přijetí hlášení | Do 3 pracovních dnů |
Úvodní posouzení a klasifikace | Do 7 pracovních dnů |
Informování o výsledku posouzení | Do 14 pracovních dnů |
Oprava (dle závažnosti) | Critical: 72 h / High: 14 dní / Medium: 30 dní |
Pravidla zodpovědného zveřejnění
Žádáme vás, abyste:
- Nesdíleli informace o zranitelnosti veřejně před jejím opravením
- Nepoužívali zranitelnost k přístupu k datům nad rámec nezbytný pro ověření jejího výskytu
- Neprováděli útoky na dostupnost našich služeb
- Nepřistupovali k datům třetích stran
Na oplátku se zavazujeme:
- Nepostupovat právní cestou vůči výzkumníkům kteří tato pravidla dodržují
- Průběžně vás informovat o stavu opravy
- Na vaše přání vás uvést v poděkování
Rozsah
Tato politika se vztahuje na produkty a služby LinuxBox.cz:
- Montodo – kontaktní centrum
- ServerCare – správa serverů
- PBX – telefonní ústředna
- Veřejně dostupné webové služby a API linuxbox.cz
Mimo rozsah jsou systémy třetích stran a zákazníků spravované LinuxBox.cz.