Zasady programu odpowiedzialnego ujawniania informacji

W Revolut bardzo poważnie traktujemy bezpieczeństwo danych naszych użytkowników. Celem niniejszej publikacji („Programu odpowiedzialnego ujawniania informacji”) jest przekazanie wszelkich informacji, których możesz potrzebować w przypadku odkrycia lub podejrzenia odkrycia potencjalnych nieprawidłowości związanych ze świadczonymi przez nas usługami. Zawsze staramy się zapewnić możliwie jak najwyższej jakości zabezpieczenia; wkład naszej społeczności w tej kwestii jest nieoceniony, za co serdecznie dziękujemy. W celu zagwarantowania odpowiedzialnego sposobu ujawniania informacji prosimy o przestrzeganie poniższych zasad:

  • Wszelkie zgłoszenia należy przesyłać za pośrednictwem poniższego formularza.
  • Prosimy o jak najszybsze zgłaszanie wszelkich przypadków. Pomoże to nie tylko w sprawnym rozwiązaniu problemu, ale zapewni Ci również pierwszeństwo otrzymania nagrody (jeśli takowa przysługuje).
  • Wszystkie nagrody mają postać punktów reputacji HackerOne i będą przyznawane przez serwis HackerOne zgodnie z jego regulaminem.
  • Publiczne ujawnianie jakichkolwiek nieprawidłowości (np. w mediach społecznościowych lub prasie) może narazić naszą społeczność na straty, dlatego prosimy o zachowanie dyskrecji. Wszelkie ujawnienia powinny być dokonywane zgodnie z niniejszym Programem odpowiedzialnego ujawniania informacji, tak abyśmy mogli skupić się na jak najszybszym rozwiązaniu ewentualnych problemów. W przypadku nieprzestrzegania wspomnianych zasad zastrzegamy sobie prawo do podjęcia kroków prawnych lub wstrzymania wypłaty nagrody.
  • Jeśli odkrywając nieprawidłowość, wejdziesz w posiadanie danych osobowych klientów lub pracowników Revolut, upewnij się, że zostały one usunięte natychmiast po wysłaniu zgłoszenia za pośrednictwem poniższego formularza. Dane osobowe to informacje, które mogą zostać użyte do identyfikacji danej osoby.
  • Informacji wskazujących na nieprawidłowość nie wolno pozyskiwać w sposób niezgodny z prawem.

Często zadawane pytania

Czego nie należy zgłaszać?

— Sugestii dotyczących konfiguracji zabezpieczeń SPF, DKIM i DMARC. — Ujawnień ogólnie dostępnych plików lub katalogów (np. robots.txt). — Ujawnień banerów usług publicznych, które nie zostały poddane weryfikacji PoC. — Konfiguracji nagłówków zabezpieczeń lub ich braku. — Braku flag Secure/HTTPOnly w plikach „cookie”, które nie zawierają informacji poufnych. — Phishingu lub ataków socjotechnicznych.

Czy przewidziana jest jakaś nagroda?

Po uzyskaniu potwierdzenia przez serwis HackerOne otrzymasz odpowiednią liczbę punktów reputacji, zgodnie z informacjami na stronie https://docs.hackerone.com/hackers/reputation.html

Kiedy otrzymam odpowiedź po dokonaniu zgłoszenia?

Zgłoszenie zostanie potwierdzone w ciągu około 72 godzin. Ujawnione informacje będą wymagały dodatkowej weryfikacji. Odezwiemy się do Ciebie w ciągu kolejnych 5 dni roboczych.

Czy po zgłoszeniu nieprawidłowości mogę ją opublikować?

W celu zapewnienia ochrony naszej społeczności prosimy o zachowanie pełnej poufności wszystkich szczegółów. Jeśli masz jakieś pytania, skontaktuj się z pracownikami platformy HackerOne: support@hackerone.com.

Zgłoś nieprawidłowość