Fri frakt Betyg 9+ 14 dagars ångerrätt

SKIKK Responsible Disclosure Program

Översikt

Hos SKIKK är säkerheten för våra system och skyddet av våra kunders uppgifter av högsta prioritet.
Trots våra ansträngningar kan sårbarheter fortfarande finnas. Därför välkomnar vi ansvarsfull säkerhetsforskning och erbjuder detta Responsible Disclosure Program, så att forskare kan rapportera säkerhetsproblem på ett säkert och etiskt sätt.

Detta program är uteslutande avsett för säkerhetsforskning i god tro. Det är inte ett bug bounty-program och erbjuder inga ekonomiska belöningar.

Omfattning

Domäner inom omfattning

  • www.skikk.eu

Endast system som ägs och drivs av SKIKK omfattas. Tredjepartstjänster, integrationer och externa leverantörer ligger utanför omfattningen, om inte annat uttryckligen anges.

 

Sårbarhetskategorier inom omfattning

Vi är särskilt intresserade av sårbarheter som kan påverka konfidentialiteten, integriteten eller tillgängligheten hos våra system eller kunddata, inklusive men inte begränsat till:

  • Sensitive Data Exposure

  • Problem med autentisering och sessionshantering

  • Insecure Direct Object References (IDOR)

  • Injection-sårbarheter (SQL, command, m.m.)

  • Cross-Site Scripting (XSS) – stored eller reflected

  • Remote Code Execution (RCE)

  • Security misconfiguration

  • Broken access control

  • Directory / path traversal

  • Exponering av inloggningsuppgifter eller secrets

 

Fynd utanför omfattning

Följande ligger utanför omfattningen och kan stängas utan vidare bedömning:

  • Social engineering, phishing, vishing eller impersonation

  • Denial-of-Service-tester (DoS / DDoS)

  • Brute-force-attacker eller account enumeration

  • Utdata från automatiserade scanners utan manuell validering

  • Förslag om svag lösenordspolicy

  • Saknade HTTP-headers utan påvisad risk

  • Cookie-flaggor på icke-känsliga cookies

  • Clickjacking eller CSRF på icke-känsliga sidor

  • E-post SPF / DKIM / DMARC-konfigurationsproblem

  • Open redirects utan säkerhetspåverkan

  • Självexploatering eller enbart teoretiska problem

  • Problem som kräver orealistisk användarinteraktion

  • Sårbarheter som redan är kända för SKIKK

  • Rapporter baserade på läckta, stulna eller komprometterade inloggningsuppgifter

 

Regler för forskning

Vid testning måste du:

  1. Endast testa på konton som du själv äger och hanterar

  2. Undvika åtgärder som påverkar tjänstens tillgänglighet

  3. Inte komma åt, ändra eller radera data från andra användare

  4. Inte ladda upp skadlig programvara eller skadliga payloads

  5. Inte utnyttja sårbarheter längre än till en proof of concept

  6. Inte utföra fysiska säkerhetstester

  7. Inte offentliggöra sårbarheter innan de är åtgärdade

  8. Radera alla känsliga uppgifter som erhållits under testningen

Brott mot dessa regler kan leda till uteslutning från programmet.

 

Rapportera en sårbarhet

Rapporter kan skickas via e-post till:

security@skikk.eu

Din rapport bör innehålla:

  • En tydlig beskrivning av problemet

  • Berörda URL(er) eller endpoint(s)

  • Steg för att reproducera

  • Proof of concept där tillämpligt

  • Bedömning av påverkan

Ofullständiga eller otydliga rapporter kan avvisas.

 

Vårt åtagande

Om du följer denna policy förbinder vi oss att:

  • Bekräfta mottagandet av din rapport

  • Bedöma och validera rapporterade problem

  • Hålla dig informerad om framsteg där det är lämpligt

  • Inte vidta rättsliga åtgärder mot forskning i god tro

  • Behandla din rapport konfidentiellt

Åtgärdstiderna kan variera beroende på allvarlighetsgrad och komplexitet.

 

Inga belöningar

SKIKK erbjuder inga ekonomiska belöningar, bounties eller utbetalningar för rapporterade sårbarheter. Detta är ett responsible disclosure-program baserat på samarbete i god tro, inte ett betalt bug bounty-program.

Vi uppskattar säkerhetsforskares tid och engagemang mycket och erkänner gärna giltiga bidrag där det är lämpligt, men deltagande är frivilligt och ger ingen rätt till någon ersättning.

 

Juridiska villkor

Genom att lämna in en rapport bekräftar du att:

  • Du är den ursprungliga författaren till rapporten

  • Du ger SKIKK rätt att använda och följa upp rapporten

  • Du inte kommer att offentliggöra sårbarheten utan skriftligt tillstånd

  • Du inte använder SKIKK:s namn eller varumärke i marknadsföringssyfte

 

Avslutningsvis

Detta program kan när som helst ändras eller avslutas utan föregående meddelande. Deltagande är frivilligt och ger ingen rätt till någon belöning eller ersättning.

Tack för att du hjälper till att hålla SKIKK och våra kunder säkra.

Fri frakt inom EU*
14 dagars fri returrätt
2 års garanti
Monterad i Europa