W Randstad stawiamy bezpieczeństwo naszych systemów oraz aplikacji jako najwyższy priorytet. Częścią naszego programu bezpieczeństwa jest udostępnienie niezależnym badaczom kanału, przez który można się z nami skontaktować, by zgłosić wykryte błędy bądź podatności.

Jeśli odkryjesz podatności na naszych stronach internetowych bądź aplikacjach chcielibyśmy o tym jak najszybciej wiedzieć by móc je usunąć.

Kliknij tutaj by przesłać znalezione błędy lub podatności.

  • Prosimy o niewykorzystywanie znalezionych podatności np.: do ściągnięcia większej ilości danych niż konieczne do udokumentowania podatności bądź zmiany danych w danej aplikacji
  • Prosimy o nieupublicznianie informacji o znalezionych podatnościach, dopóki nie zostaną one usunięte
  • Prosimy o nietestowanie ochrony fizycznej, nieużywanie ataków typu “social engineering” bądź typu “DDOS”, wysyłanie nadmiernej ilości spamu
  • Prosimy o przesłanie wystarczającej ilości informacji, aby możliwe było odtworzenie problemu, pozwoli nam to na usunięcie podatności najszybciej jak to możliwe. Zazwyczaj adres IP bądź URL systemu z podatnością wraz z krótkim opisem wystarcza. Bardziej rozbudowane podatności mogą wymagać bardziej szczegółowych opisów.

Gwarantujemy:

  • Odpowiedź w ciągu 7 dni roboczych z naszą oceną zgłoszenia oraz zakładaną datą rozwiązania.
  • Jeśli zgłoszenie zostanie przekazane zgodnie z powyższymi instrukcjami, żadne kroki prawne nie zostaną powzięte w stosunku do zgłaszającego.
  • Zgłoszenie zostanie utajnione, tak samo jak dane zgłaszającego. Dane zgłaszającego nie zostaną przekazane innym podmiotom bez uprzedniego uzyskania zgody od zgłaszającego
  • Zgłaszający będzie na bieżąco powiadamiany o statusie zgłoszenia.
  • Podczas publikowania raportu o znalezionych podatnościach imię zgłaszającego zostanie podane jako odkrywcy problemu, jeśli zgłaszający nie sprzeciwia się publikacji takiej informacji. Na życzenie zgłaszającego raport może zostać opublikowany ze zanonimizowanym imieniem zgłaszającego.

 

Tekst pochodzi ze strony Responsible disclosure  oraz został użyty za zgodą autora.