Alla villkor och avtal
Policy för rapportering av sårbarheter
Detta dokument är maskinöversatt för enkelhetens skull. Vid eventuella avvikelser gäller den engelska versionen.
[Engelsk version]
Soldera driver en plattform som ansluter till register för energiattributcertifikat, så säkerheten i våra system och våra kunders data är mycket viktig för oss. Vi värdesätter säkerhetsforskare och välkomnar rapporter i god tro om sårbarheter i de system vi driver.
Detta är ett program endast för rapportering. Vi erbjuder inga monetära belöningar, men vi åtar oss att svara skyndsamt, bemöta forskare med respekt och - om du vill - ge ett diskret erkännande av ditt bidrag.
-
SÅ RAPPORTERAR DU
-
Mejla
security@soldera.org
med:
- En ämnesrad som innehåller "Vulnerability Disclosure"
- En beskrivning av sårbarheten och var den finns
- Steg för att återskapa den eller ett kort proof of concept (en fungerande PoC är mer användbar än en lång video)
- Din bedömning av påverkan
- Var gärna kortfattad. Om din rapport omfattar känsliga data, kryptera den med vår publika PGP-nyckel på https://www.soldera.org/.well-known/pgp-key.txt , eller be oss om en krypterad kanal.
-
Mejla
security@soldera.org
med:
-
VAD SOM KVALIFICERAR
- Design- eller implementationsproblem som på ett meningsfullt sätt påverkar konfidentialiteten eller integriteten för kund- eller registerdata - till exempel XSS, CSRF, brister i autentisering/auktorisering (inklusive åtkomst till en annan kunds data), injektion eller exekvering av kod på serversidan (SQLi, command injection, XXE) och logiska brister som kringgår viktiga säkerhetskontroller.
- Vi agerar vanligtvis inte på: saknade säkerhetsheaders/SPF/DKIM/DMARC eller cookie-flaggor utan en visad exploatering, banner-/versionsinformation, clickjacking på icke-känsliga sidor, användaruppräkning utan påverkan på hastighetsbegränsning, råa automatiserade skannerutdata utan analys, eller problem i tredjepartsplattformar som vi inte kontrollerar (rapportera sådant till leverantören).
-
VAD VI BER DIG OM
-
För Solderas och våra kunders säkerhet ber vi dig följa praxis för ansvarsfull
sårbarhetsrapportering:
- Testa endast mot dina egna konton. Åtkom, ändra eller radera aldrig data som tillhör någon annan. Om du oavsiktligt stöter på en annan användares data, avbryt, meddela oss och behåll inga kopior.
- Försämra eller störa inte våra tjänster - ingen denial-of-service-testning, automatiserade högvolymsskanningar, spam, social engineering eller fysiska attacker.
- Testa inte system som vi inte äger. Vår plattform ansluter till nationella och internationella EAC-register och till leverantörer (hosting, analys, marknadsföring); vi kan inte godkänna testning av dessa - rikta sådana problem till relevant operatör.
- Ge oss en rimlig möjlighet att åtgärda ett problem innan du offentliggör det, och dela det inte med tredje part eller mäklare annat än för att få det åtgärdat.
- Om du följer denna policy under din forskning och agerar i god tro kommer vi att betrakta din åtkomst som behörig, och vi kommer inte att vidta rättsliga åtgärder mot dig i samband med den.
-
För Solderas och våra kunders säkerhet ber vi dig följa praxis för ansvarsfull
sårbarhetsrapportering:
-
VAD DU KAN FÖRVÄNTA DIG AV OSS
-
I mån av resurser strävar vi efter att:
- Bekräfta din rapport inom 7 arbetsdagar.
- Ge en första bedömning inom 14 arbetsdagar.
- Åtgärda giltiga problem inom en rimlig tidsram, med uppdateringar om åtgärden tar längre tid.
- Ge dig erkännande om du vill det (en diskret erkännandesida och, valfritt, en hall-of-fame-post ) - eller hålla dig anonym om du föredrar det.
- Detta program är frivilligt och vi kan ändra eller avsluta det när som helst.
-
I mån av resurser strävar vi efter att:
Senast uppdaterad: 15 juli 2026. Frågor om denna policy: security@soldera.org