Visos sąlygos ir sutartys
Pažeidžiamumų atskleidimo politika
Šis dokumentas yra mašininis vertimas patogumui. Neatitikimų atveju viršenybę turi anglų kalbos versija.
[Anglų versija]
Soldera valdo platformą, kuri jungiasi prie energijos kilmės sertifikatų registrų, todėl mūsų sistemų ir klientų duomenų saugumas mums yra itin svarbus. Vertiname saugumo tyrėjų bendruomenę ir laukiame sąžiningų pranešimų apie mūsų valdomų sistemų pažeidžiamumus.
Tai tik pažeidžiamumų atskleidimo programa. Piniginių atlygių nesiūlome, tačiau įsipareigojame reaguoti greitai, su tyrėjais elgtis pagarbiai ir - jei pageidausite - santūriai pripažinti jūsų indėlį.
-
KAIP PRANEŠTI
-
El. paštu
security@soldera.org
atsiųskite:
- Temos eilutę su žodžiais „Vulnerability Disclosure“
- Pažeidžiamumo aprašymą ir vietą, kur jis yra
- Atkūrimo veiksmus arba trumpą koncepcijos įrodymą (veikiantis PoC naudingesnis nei ilgas vaizdo įrašas)
- Jūsų poveikio vertinimą
- Rašykite glaustai. Jei jūsų pranešime yra jautrių duomenų, užšifruokite jį mūsų viešuoju PGP raktu, esančiu https://www.soldera.org/.well-known/pgp-key.txt , arba paprašykite šifruoto kanalo.
-
El. paštu
security@soldera.org
atsiųskite:
-
KAS TINKA
- Projektavimo ar įgyvendinimo problemos, kurios reikšmingai veikia klientų ar registrų duomenų konfidencialumą arba vientisumą - pavyzdžiui, XSS, CSRF, autentifikavimo / autorizavimo spragos (įskaitant prieigą prie kito kliento duomenų), injekcija arba serverio pusės kodo vykdymas (SQLi, komandų injekcija, XXE) ir loginės spragos, apeinančios svarbias saugumo kontrolės priemones.
- Paprastai nesiimsime veiksmų dėl: trūkstamų saugumo antraščių / SPF / DKIM / DMARC ar slapukų žymų be parodyto išnaudojimo, banerio / versijos atskleidimo, clickjacking nejautriuose puslapiuose, naudotojų vardų nustatymo be poveikio greičio ribojimui, neapdorotų automatizuoto skenerio rezultatų be analizės arba problemų trečiųjų šalių platformose, kurių nekontroliuojame (apie jas praneškite tiekėjui).
-
KO PRAŠOME IŠ JŪSŲ
-
Soldera ir mūsų klientų saugumui prašome laikytis atsakingo atskleidimo praktikos:
- Testuokite tik savo paskyras. Niekada nepasiekite, nekeiskite ir netrinkite kitiems asmenims priklausančių duomenų. Jei netyčia pamatysite kito naudotojo duomenis, sustokite, praneškite mums ir nelaikykite kopijų.
- Nebloginkite ir netrikdykite mūsų paslaugų - jokių atsparumo paslaugos trikdymui bandymų, didelės apimties automatizuotų skenavimų, šlamšto, socialinės inžinerijos ar fizinių atakų.
- Netestuokite sistemų, kurios mums nepriklauso. Mūsų platforma jungiasi prie nacionalinių ir tarptautinių EAC registrų bei tiekėjų (prieglobos, analitikos, rinkodaros); negalime leisti jų testuoti - dėl tokių problemų kreipkitės į atitinkamą operatorių.
- Suteikite mums pagrįstą galimybę ištaisyti problemą prieš ją viešai atskleisdami ir nesidalykite ja su trečiosiomis šalimis ar tarpininkais, nebent tai būtina jai ištaisyti.
- Jei tyrimo metu laikysitės šios politikos ir veiksite sąžiningai, jūsų prieigą laikysime autorizuota ir nesiimsime prieš jus teisinių veiksmų dėl su ja susijusių aplinkybių.
-
Soldera ir mūsų klientų saugumui prašome laikytis atsakingo atskleidimo praktikos:
-
KO GALITE TIKĖTIS IŠ MŪSŲ
-
Jei leis ištekliai, siekiame:
- Patvirtinti jūsų pranešimo gavimą per 7 darbo dienas.
- Pateikti pradinį vertinimą per 14 darbo dienų.
- Pagrįstu terminu ištaisyti pagrįstas problemas ir teikti naujienas, jei taisymas užtruks ilgiau.
- Paminėti jus, jei to norite (santūriame padėkos puslapyje ir, pasirinktinai, šlovės lentos įraše ) - arba palikti jus anonimais, jei taip pageidaujate.
- Ši programa yra mūsų nuožiūros dalykas, todėl galime ją bet kada pakeisti arba nutraukti.
-
Jei leis ištekliai, siekiame:
Paskutinį kartą atnaujinta: 2026 m. liepos 15 d. Klausimai apie šią politiką: security@soldera.org