Kõik tingimused ja lepingud
Turvanõrkuste avalikustamise poliitika
Käesolev dokument on masintõlgitud mugavuse huvides. Vastuolu korral on ülimuslik ingliskeelne versioon.
[Ingliskeelne versioon]
Soldera haldab platvormi, mis ühendub energia päritolusertifikaatide registritega, seega on meie süsteemide ja klientide andmete turvalisus meile väga tähtis. Hindame turbeuurijate kogukonda ja ootame heas usus esitatud teateid meie hallatavates süsteemides leiduvate haavatavuste kohta.
See on üksnes avalikustamisprogramm. Me ei paku rahalisi tasusid, kuid kohustume kiiresti vastama, kohtlema uurijaid lugupidavalt ning soovi korral tunnustama teie panust diskreetselt.
-
KUIDAS TEATADA
-
Saatke e-kiri aadressile
security@soldera.org
ja lisage:
- Teemarida, mis sisaldab fraasi "Vulnerability Disclosure"
- Haavatavuse kirjeldus ja selle asukoht
- Taasesitamise sammud või lühike kontseptsioonitõendus (toimiv PoC on kasulikum kui pikk video)
- Teie hinnang mõjule
- Palun olge lühike. Kui teie teade sisaldab tundlikke andmeid, krüpteerige see meie avaliku PGP-võtmega aadressil https://www.soldera.org/.well-known/pgp-key.txt , või küsige meilt krüpteeritud kanalit.
-
Saatke e-kiri aadressile
security@soldera.org
ja lisage:
-
MIS KVALIFITSEERUB
- Disaini- või teostusprobleemid, mis mõjutavad oluliselt kliendi- või registriandmete konfidentsiaalsust või terviklust - näiteks XSS, CSRF, autentimise/autoriseerimise vead (sh juurdepääs teise kliendi andmetele), süstimine või serveripoolne koodi käivitamine (SQLi, käsusüst, XXE) ning loogikavead, mis mööduvad olulistest turvakontrollidest.
- Üldjuhul me ei käsitle: puuduvaid turvapäiseid/SPF/DKIM/DMARC-kirjeid või küpsiselippe ilma tõendatud ärakasutuseta, bänneri/versiooni avaldumist, clickjacking'ut mittetundlikel lehtedel, kasutajate loendamist ilma kiiruspiirangu mõjuta, analüüsita automaatskanneri toorväljundit või probleeme kolmandate osapoolte platvormidel, mida me ei kontrolli (teatage neist vastavale teenusepakkujale).
-
MIDA TEILT PALUME
-
Soldera ja meie klientide turvalisuse nimel järgige palun vastutustundliku
avalikustamise tava:
- Testige ainult oma kontode vastu. Ärge kunagi avage, muutke ega kustutage kellelegi teisele kuuluvaid andmeid. Kui satute kogemata teise kasutaja andmetele, lõpetage, teavitage meid ja ärge säilitage koopiaid.
- Ärge halvendage ega häirige meie teenuseid - ei teenustõkestuse teste, suure mahuga automaatskaneeringuid, rämpsposti, sotsiaalset manipuleerimist ega füüsilisi ründeid.
- Ärge testige süsteeme, mis meile ei kuulu. Meie platvorm ühendub riiklike ja rahvusvaheliste EAC-registrite ning teenusepakkujatega (majutus, analüütika, turundus); me ei saa nende testimist lubada - suunake sellised probleemid vastavale operaatorile.
- Andke meile mõistlik võimalus probleem parandada enne selle avalikustamist ning ärge jagage seda kolmandate osapoolte ega vahendajatega, välja arvatud parandamise eesmärgil.
- Kui järgite uurimise ajal seda poliitikat ja tegutsete heas usus, käsitame teie juurdepääsu lubatuna ega alusta selle tõttu teie vastu õiguslikke samme.
-
Soldera ja meie klientide turvalisuse nimel järgige palun vastutustundliku
avalikustamise tava:
-
MIDA MEILT OODATA
-
Ressursside piires püüame:
- Kinnitada teie teate kättesaamist 7 tööpäeva jooksul.
- Anda esmase hinnangu 14 tööpäeva jooksul.
- Parandada kehtivad probleemid mõistliku aja jooksul, koos uuendustega, kui parandus võtab kauem aega.
- Tunnustada teid, kui seda soovite (diskreetne tunnustusleht ja soovi korral tunnustusnimekirja kanne ) - või hoida teid anonüümsena, kui seda eelistate.
- See programm on vabatahtlik ning võime seda igal ajal muuta või lõpetada.
-
Ressursside piires püüame:
Viimati uuendatud: 15. juuli 2026. Küsimused selle poliitika kohta: security@soldera.org