Hlášení zranitelností

Bezpečnost bereme vážně — a vážíme si každého, kdo nám pomůže ji zlepšit. Pokud jste objevili zranitelnost v systémech CIAD, dejte nám vědět. Slibujeme rychlou reakci, férové jednání a veřejné poděkování.

Rozsah programu

V rozsahu: doména ciad.cz a její subdomény (www, team, webmail) a mailová infrastruktura ciad.cz.

Mimo rozsah: systémy klientů a třetích stran (k jejich testování nemůžeme udělit oprávnění), útoky na dostupnost (DoS/DDoS), social engineering, phishing, fyzické útoky a spam.

Pravidla

• Používejte pouze neinvazivní techniky — nenarušujte dostupnost služeb ani integritu dat.
• Pokud narazíte na cizí data, zastavte se a nahlaste nález; data nestahujte, neměňte a nešiřte.
• Zranitelnost nezveřejňujte před koordinovaným termínem (viz níže).
• Jednejte v dobré víře — cílem je zlepšit bezpečnost, ne způsobit škodu.

Jak nahlásit

Pište na security@ciad.cz. Do reportu uveďte: dotčený systém či URL, popis zranitelnosti, kroky k reprodukci a odhad dopadu. Strojově čitelný kontakt: security.txt.

Náš závazek

• Příjem reportu potvrdíme do 72 hodin.
• Vyhodnocení a plán opravy sdělíme do 14 dnů.
• Zveřejnění koordinujeme — standardní embargo je 90 dnů od nahlášení, podle závažnosti lze upravit dohodou.
• Safe harbor: proti výzkumníkům jednajícím v dobré víře a v souladu s těmito pravidly nepodnikneme právní kroky.

Síň slávy

Program je bez finančních odměn. Výzkumníkům, jejichž nález vedl k opravě, děkujeme veřejně zde — se jménem či přezdívkou, podle jejich volby.

Zatím prázdná. Buďte první.