ATSAKINGO SAUGUMO POLITIKA
1. Įžanga
Mums svarbu užtikrinti zuklescentras.lt sistemos ir klientų duomenų saugumą. Skatiname atsakingą požiūrį į saugumo tyrimus ir kviečiame pranešti apie bet kokius pastebėtus pažeidžiamumus.
Jei esate saugumo tyrėjas ir radote pažeidžiamumą, laikykitės toliau nurodytų taisyklių, kad padėtumėte mums užtikrinti sistemų vientisumą.
2. Kas yra leidžiama?
*Atsakingas testavimas nepažeidžiančios veiklos ribose.
*Tik savo paskyros naudojimas (jei reikia prisijungti).
*Duomenų neatskleidimas kol problema nėra išspręsta.
*Nedestruktyvus testavimas, kuris nedaro žalos sistemai.
3. Kas yra draudžiama?
*DDoS atakos, brute-force bandymai, spam’as, socialinė inžinerija.
*Trečiųjų šalių sistemų atakos, partnerių ar klientų duomenų rinkimas.
*Prekių ar duomenų pakeitimai be leidimo.
*Bandymas išnaudoti spragą, užuot pranešus apie ją.
4. Kaip pranešti apie pažeidžiamumą?
Siųskite el. laišką į [email protected], nurodydami:
1. Problemos aprašymą su techninėmis detalėmis.
2. Kaip atkurti spragą (jei įmanoma, pateikite pavyzdį).
3. Galimas pasekmes ir rekomenduojamą sprendimą.
4. Jūsų kontaktinius duomenis (jei norite atsiliepimo).
5. Mūsų atsakas
*Atsiliepsime per 5 darbo dienas.
*Išanalizuosime problemą ir pranešime apie sprendimą.
Jei problema bus pripažinta kritine, galime paskatinti jus simboline dovana ar oficialia padėka.
Saugumo tyrėjams galime pasiūlyti vietą „Hall of Fame” puslapyje.
6. Apimtis (Scope)
Įtraukiamos sistemos ir funkcijos
*Pagrindinė svetainė (zuklescentras.lt)
*Autentifikacijos mechanizmai
*API paslaugos
Neįtraukiamos sistemos
*Trečiųjų šalių paslaugos (pvz., mokėjimų operatoriai)
*DDoS testavimas
*Fizinė infrastruktūra
7. Atitiktis ES reglamentams
Mūsų atsakingo saugumo politika atitinka svarbiausius Europos Sąjungos kibernetinio saugumo ir duomenų apsaugos reikalavimus:
1. GDPR (Bendrasis duomenų apsaugos reglamentas) – Jei rasta spraga gali turėti įtakos asmens duomenims, apie ją pranešime Lietuvos Valstybinei duomenų apsaugos inspekcijai.
2. NIS2 direktyva – Sekame ES kibernetinio saugumo reikalavimus ir, jei reikėtų, bendradarbiautume su nacionalinėmis institucijomis.
3. Nacionalinis Kibernetinio Saugumo Centras – Jei spraga yra didelės reikšmės, gali būti reikalingas bendradarbiavimas su Lietuvos CERT institucija (https://nksc.lt)
8. Apdovanojimų lygiai ir vertinimo kriterijai
1. Mažos rizikos spragos (pvz., UI klaidos, informacijos atskleidimas) → Padėka arba įtraukimas į „Hall of Fame“.
2. Vidutinės rizikos spragos (pvz., autentifikacijos apeities metodai) → Simbolinis apdovanojimas ar parduotuvės nuolaida.
3. Didelės rizikos spragos (pvz., galimybė pavogti klientų duomenis) → Oficialus įvertinimas + galimas papildomas atlygis.
9. Atsakomybės ribojimas
*zuklescentras.lt pasilieka teisę imtis teisinių veiksmų prieš asmenis, kurie pažeidžia šios politikos taisykles.
*Bet kokie piktnaudžiavimo atvejai bus traktuojami kaip neteisėta veikla, ir tokie incidentai bus pranešti teisėsaugos institucijoms.
10. Viešo atskleidimo gairės
*Tyrėjai neturėtų viešai skelbti apie rastą pažeidžiamumą, kol jis nėra visiškai ištaisytas.
*Jei tyrėjas nori paskelbti analizę ar ataskaitą apie rasto pažeidžiamumo sprendimą, prieš tai jis turi gauti oficialų zuklescentras.lt patvirtinimą.
11. Informacija apie atlygį arba įvertinimą
*Nors tai nėra Bug Bounty programa, vertiname tyrėjų indėlį į mūsų saugumą.
*Už kritines spragas gali būti suteikta oficiali padėka arba tyrėjas gali būti įtrauktas į „Hall of Fame”.
*Esant išskirtiniams atvejams, gali būti svarstomas simbolinis apdovanojimas ar nuolaida parduotuvėje.