Sårbarhetspolicy

Vi tar säkerheten i våra system på allvar och värdesätter säkerhetscommunityt. Att vara öppen kring sårbarheter hjälper oss att garantera våra användares säkerhet och integritet.

Riktlinjer

Vi kräver att du som forskare:

• Gör allt för att undvika integritetskränkningar, försämrad användarupplevelse, störningar i produktionssystem och att data förstörs under säkerhetstestning.
• Utför forskning endast i den omfattning som anges nedan;
• Använder de identifierade kommunikationskanalerna för att rapportera sårbarhetsinformation till oss; och
• Håller information om eventuella sårbarheter som du upptäcker konfidentiell mellan dig själv och Skillhabit tills vi fått 90 dagar på oss att lösa problemet.

Om du följer dessa riktlinjer när du rapporterar ett problem till oss, åtar vi oss att:

• Inte driva eller stödja några rättsliga åtgärder relaterade till din forskning.
• Samarbeta med dig för att snabbt förstå och lösa problemet (inklusive en första bekräftelse av din rapport inom 72 timmar efter att den skickats in).
• Erkänna ditt bidrag i vår Hall of Fame för säkerhetsforskare, om du är den första som rapporterar problemet och vi gör en kod- eller konfigurationsändring baserat på problemet.

Omfattning

skillhabit.com

Omfattas inte

Alla tjänster som hostas av tredjepartsleverantörer och tjänster är undantagna. Dessa tjänster inkluderar:

AppSentry

BunnyCDN

Simple Analytics

RapidMail

Graylog

Nets (DIBS)

Stripe

Med hänsyn till säkerheten för våra användare, vår personal, Internet i stort och dig som säkerhetsforskare är följande testtyper undantagna från tillämpningsområdet:

• Resultat från fysiska tester såsom tillgång till kontor (t.ex. öppna dörrar, bakluckor).
• Upptäckter som främst härrör från social manipulation (t.ex. phishing, vishing).
• Resultat från applikationer eller system som inte anges i avsnittet "Omfattning".
• Buggar i användargränssnitt och UX samt stavfel.
• DoS/DDoS-sårbarheter (Denial of Service) på nätverksnivå.

Detta vill vi inte ta emot:

• Personligt identifierbar information (PII).
• Uppgifter om kreditkortsinnehavare.

Så här rapporterar du en säkerhetsbrist

Om du tror att du hittat en säkerhetsbrist i någon av våra produkter eller plattformar kan du skicka ett mejl till security@skillhabit.com. Vänligen inkludera följande information i din rapport:

• En beskrivning av var sårbarheten finns och vad den kan påverka.
• En detaljerad beskrivning av de steg som krävs för att reproducera sårbarheten (POC-skript, skärmdumpar och komprimerade skärmdumpar är alla till hjälp för oss).
• Ditt namn/handtag och en länk för erkännande i vår Hall of Fame.