Zasady programu odpowiedzialnego ujawniania informacji
W Revolut bardzo poważnie traktujemy bezpieczeństwo danych naszych użytkowników. Celem niniejszej publikacji („Programu odpowiedzialnego ujawniania informacji”) jest przekazanie wszelkich informacji, których możesz potrzebować w przypadku odkrycia lub podejrzenia odkrycia potencjalnych nieprawidłowości związanych ze świadczonymi przez nas usługami. Zawsze staramy się zapewnić możliwie jak najwyższej jakości zabezpieczenia; wkład naszej społeczności w tej kwestii jest nieoceniony, za co serdecznie dziękujemy. W celu zagwarantowania odpowiedzialnego sposobu ujawniania informacji prosimy o przestrzeganie poniższych zasad:
- Wszelkie zgłoszenia należy przesyłać za pośrednictwem platformy Integriti, na której należy się wcześniej zarejestrować, korzystając z linku u dołu strony.
- Prosimy o jak najszybsze zgłaszanie wszelkich nieprawidłowości. Pomoże to nie tylko w sprawnym rozwiązaniu problemu, ale zapewni Ci również pierwszeństwo otrzymania nagrody (jeśli takowa przysługuje).
- Wszystkie nagrody mają postać punktów reputacji Integriti i będą przyznawane przez serwis Integriti zgodnie z jego regulaminem. Więcej informacji na ten temat można znaleźć tutaj: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak.
- Publiczne ujawnianie jakichkolwiek nieprawidłowości (np. w mediach społecznościowych lub prasie) może narazić naszą społeczność na straty, dlatego prosimy o zachowanie dyskrecji. Wszelkie ujawnienia powinny być dokonywane zgodnie z niniejszym Programem odpowiedzialnego ujawniania informacji, tak abyśmy mogli skupić się na jak najszybszym rozwiązaniu ewentualnych problemów. W przypadku nieprzestrzegania wspomnianych zasad zastrzegamy sobie prawo do podjęcia kroków prawnych lub wstrzymania przyznania nagród.
- Jeśli odkrywając nieprawidłowość, wejdziesz w posiadanie danych osobowych klientów lub pracowników Revolut, usuń takie dane natychmiast po wysłaniu zgłoszenia za pośrednictwem poniższego formularza. Dane osobowe to wszelkie informacje, które mogą zostać użyte do identyfikacji danej osoby.
- Informacji wskazujących na nieprawidłowość nie wolno pozyskiwać w sposób niezgodny z prawem.
Często zadawane pytania
- sugestii dotyczących konfiguracji zabezpieczeń SPF, DKIM i DMARC
- ujawnień ogólnie dostępnych plików lub katalogów (np. robots.txt)
- ujawnień banerów usług publicznych, które nie zostały poddane weryfikacji PoC
- konfiguracji nagłówków zabezpieczeń lub ich braku
- braku flag Secure/HTTPOnly w plikach cookie, które nie zawierają informacji poufnych phishingu ani ataków socjotechnicznych
- Po uzyskaniu potwierdzenia przez serwis Integriti otrzymasz odpowiednią liczbę punktów reputacji, zgodnie z informacjami na stronie: https://kb.intigriti.com/en/articles/3379630-leaderboard-reputation-and-streak
- Zgłoszenie zostanie potwierdzone w ciągu około 72 godzin. Ujawnione informacje będą wymagały dodatkowej weryfikacji. Odezwiemy się do Ciebie w ciągu kolejnych 5 dni roboczych.
- W celu zapewnienia ochrony naszej społeczności prosimy o zachowanie pełnej poufności wszystkich szczegółów sprawy. Jest to zgodne z Regulaminem dla badaczy Intigriti — https://kb.intigriti.com/en/articles/5466165-researcher-terms-conditions. Jeśli masz dodatkowe pytania, skontaktuj się z firmą Intigriti pod adresem [email protected]