Säkerhetsbuggbounty policy
Tack för att du hjälper oss att förbättra säkerheten för våra produkter och tjänster. Vi välkomnar ansvarsfull offentliggörande av säkerhetsbrister och kommer att göra allt för att erkänna dina bidrag.
Om du tror att du har upptäckt en säkerhetsbrist i någon av våra produkter eller tjänster uppmanar vi dig att meddela oss. Vi kommer att arbeta med dig för att verifiera sårbarheten och åtgärda den så snart som möjligt.
För att rapportera en sårbarhet, skicka gärna ett e-postmeddelande till security@safello.com med en beskrivning av problemet, en beskrivning av hur man kan återskapa det och all relevant supportinformation. All känslig kommunikation måste vara krypterad och signerad med PGP. Vänligen låt oss även veta om du önskar att bli erkänd i vår 'Hall of Thanks', och i så fall specificera namnet eller användarnamnet du föredrar att vi använder.
Belöningsprogram
Vi kommer att betala en belöning för berättigade säkerhetssårbarheter baserat på allvarlighetsgraden och påverkan av problemet. Allvarlighetsgraden kommer att fastställas av vårt inhouse-säkerhetsteam baserat på branschstandard riktlinjer. Belöningar kommer att betalas ut i enlighet med bedömningen av vårt säkerhetsteam och våra belöningsriktlinjer.
Belöning riktlinjer
1. Belöningarna kommer att variera beroende på allvaret och den potentiella påverkan av sårbarheten.
2. Vi uppskattar ansvarsfull offentliggörande. Dela inte problemet med andra förrän det har lösts.
3. Skicka endast rapporter om sårbarheter som inte tidigare har rapporterats.
Omfattning
Vårt Bug Bounty-program täcker alla aspekter av Safellos verksamhet. Detta inkluderar alla appar och API.
Vänligen fokusera dina tester på dessa områden.
Ansvarsfull offentliggörande
Vi förväntar oss att alla deltagare följer ansvarsfull offentliggörandepraxis.
Det innebär att du inte ska utnyttja sårbarheten av någon annan anledning än att visa säkerhetsproblemet.
Berättigande
För att vara berättigad till ett pris måste du:
• Var den första personen att ansvarsfullt rapportera sårbarheten till oss.
• Offentliggör inte sårbarheten innan vi har haft en rimlig möjlighet att åtgärda problemet.
• Har inte arbetat eller varit konsult för Safello, vare sig för närvarande eller tidigare.
Undantag
Följande problem är inte berättigade till en belöning:
• Sårbarheter som redan har rapporterats eller åtgärdats.
• Sårbarheter i tredjepartsprogramvara eller bibliotek.
• Förnekande av tjänst-attacker.
• Skräppost eller socialtekniska metoder.
Ansvarsfriskrivning
Det här programmet är för att testa säkerheten i våra produkter och tjänster. Du bör inte bryta mot några lagar eller kränka användares integritet i ditt testande. Vi förbehåller oss rätten att när som helst avbryta eller ändra programmet.