SKIKK Responsible Disclosure Program
Översikt
Hos SKIKK är säkerheten för våra system och skyddet av våra kunders uppgifter av högsta prioritet.
Trots våra ansträngningar kan sårbarheter fortfarande finnas. Därför välkomnar vi ansvarsfull säkerhetsforskning och erbjuder detta Responsible Disclosure Program, så att forskare kan rapportera säkerhetsproblem på ett säkert och etiskt sätt.
Detta program är uteslutande avsett för säkerhetsforskning i god tro. Det är inte ett bug bounty-program och erbjuder inga ekonomiska belöningar.
Omfattning
Domäner inom omfattning
-
www.skikk.eu
Endast system som ägs och drivs av SKIKK omfattas. Tredjepartstjänster, integrationer och externa leverantörer ligger utanför omfattningen, om inte annat uttryckligen anges.
Sårbarhetskategorier inom omfattning
Vi är särskilt intresserade av sårbarheter som kan påverka konfidentialiteten, integriteten eller tillgängligheten hos våra system eller kunddata, inklusive men inte begränsat till:
-
Sensitive Data Exposure
-
Problem med autentisering och sessionshantering
-
Insecure Direct Object References (IDOR)
-
Injection-sårbarheter (SQL, command, m.m.)
-
Cross-Site Scripting (XSS) – stored eller reflected
-
Remote Code Execution (RCE)
-
Security misconfiguration
-
Broken access control
-
Directory / path traversal
-
Exponering av inloggningsuppgifter eller secrets
Fynd utanför omfattning
Följande ligger utanför omfattningen och kan stängas utan vidare bedömning:
-
Social engineering, phishing, vishing eller impersonation
-
Denial-of-Service-tester (DoS / DDoS)
-
Brute-force-attacker eller account enumeration
-
Utdata från automatiserade scanners utan manuell validering
-
Förslag om svag lösenordspolicy
-
Saknade HTTP-headers utan påvisad risk
-
Cookie-flaggor på icke-känsliga cookies
-
Clickjacking eller CSRF på icke-känsliga sidor
-
E-post SPF / DKIM / DMARC-konfigurationsproblem
-
Open redirects utan säkerhetspåverkan
-
Självexploatering eller enbart teoretiska problem
-
Problem som kräver orealistisk användarinteraktion
-
Sårbarheter som redan är kända för SKIKK
-
Rapporter baserade på läckta, stulna eller komprometterade inloggningsuppgifter
Regler för forskning
Vid testning måste du:
-
Endast testa på konton som du själv äger och hanterar
-
Undvika åtgärder som påverkar tjänstens tillgänglighet
-
Inte komma åt, ändra eller radera data från andra användare
-
Inte ladda upp skadlig programvara eller skadliga payloads
-
Inte utnyttja sårbarheter längre än till en proof of concept
-
Inte utföra fysiska säkerhetstester
-
Inte offentliggöra sårbarheter innan de är åtgärdade
-
Radera alla känsliga uppgifter som erhållits under testningen
Brott mot dessa regler kan leda till uteslutning från programmet.
Rapportera en sårbarhet
Rapporter kan skickas via e-post till:
security@skikk.eu
Din rapport bör innehålla:
-
En tydlig beskrivning av problemet
-
Berörda URL(er) eller endpoint(s)
-
Steg för att reproducera
-
Proof of concept där tillämpligt
-
Bedömning av påverkan
Ofullständiga eller otydliga rapporter kan avvisas.
Vårt åtagande
Om du följer denna policy förbinder vi oss att:
-
Bekräfta mottagandet av din rapport
-
Bedöma och validera rapporterade problem
-
Hålla dig informerad om framsteg där det är lämpligt
-
Inte vidta rättsliga åtgärder mot forskning i god tro
-
Behandla din rapport konfidentiellt
Åtgärdstiderna kan variera beroende på allvarlighetsgrad och komplexitet.
Inga belöningar
SKIKK erbjuder inga ekonomiska belöningar, bounties eller utbetalningar för rapporterade sårbarheter. Detta är ett responsible disclosure-program baserat på samarbete i god tro, inte ett betalt bug bounty-program.
Vi uppskattar säkerhetsforskares tid och engagemang mycket och erkänner gärna giltiga bidrag där det är lämpligt, men deltagande är frivilligt och ger ingen rätt till någon ersättning.
Juridiska villkor
Genom att lämna in en rapport bekräftar du att:
-
Du är den ursprungliga författaren till rapporten
-
Du ger SKIKK rätt att använda och följa upp rapporten
-
Du inte kommer att offentliggöra sårbarheten utan skriftligt tillstånd
-
Du inte använder SKIKK:s namn eller varumärke i marknadsföringssyfte
Avslutningsvis
Detta program kan när som helst ändras eller avslutas utan föregående meddelande. Deltagande är frivilligt och ger ingen rätt till någon belöning eller ersättning.
Tack för att du hjälper till att hålla SKIKK och våra kunder säkra.