Wybierz kraj i język

Polityka ujawniania podatności

Firma BORA Vertriebs GmbH & Co KG zawsze dąży do zapewniania klientom produktów/usług o najwyższym poziomie jakości i niezawodności. Aby osiągnąć ten cel, weryfikujemy każdy problem dotyczący bezpieczeństwa zgłoszony przez zewnętrznych ekspertów, partnerów lub klientów.

 

Poniższe wytyczne dotyczą wszystkich luk w zabezpieczeniach, które są nam zgłaszane. Zalecamy przeczytanie wszystkich wytycznych i postępowanie zgodnie z ich treścią. W ten sposób można zapewnić, że luki w zabezpieczeniach będą odpowiednio identyfikowane i zwalczane. Firma BORA Vertriebs GmbH & Co KG docenia czas i wysiłek poświęcony na zgłaszanie luk w zabezpieczeniach. Chcemy jednak podkreślić, że firma BORA Vertriebs GmbH & Co KG nie przewiduje rekompensaty pieniężnej za zgłaszanie luk w zabezpieczeniach.

 

W przypadku podejrzenia wykrycia luki w zabezpieczeniach prosimy o przesłanie zgłoszenia za pomocą poniższego łącza lub e-mailem, podając następujące dane:

 

  • Adres URL lub IP, pod którym znaleźć można podatność.
  • Krótki opis rodzaju luki w zabezpieczeniach (przykład: „Podatność XSS”).
  • Kroki do odtworzenia problemu. Powinny one stanowić dowód wykonalności (Proof of Concept) niepowodujący szkodliwych skutków. Informacje te pomogą nam szybko i dokładnie przetworzyć zgłoszenie. Zmniejszają one także prawdopodobieństwo podwójnych zgłoszeń lub ryzyko złośliwego wykorzystania podatności, np. przejęcia domeny.

 

Po otrzymaniu zgłoszenia rozpoczniemy proces weryfikacji i zwalczania zgłoszonej podatności/luki w zabezpieczeniach. Dążymy do tego, aby reagować na zgłoszenia w ciągu 10 dni roboczych i przetwarzać je w ciągu 14 dni roboczych. Będziemy przekazywać na bieżąco informacje na temat postępów. Priorytet zwalczania zostanie przyporządkowany na podstawie skutków, wagi oraz złożoności danej podatności. Na dowód wdzięczności umieścimy zgłaszającą osobę na naszej stronie z podziękowaniami, pod warunkiem uzyskania jej zgody.

Wytyczne

Działania zabronione:

  • Naruszanie obowiązujących praw i przepisów.
  • Uzyskiwanie dostępu do niewymaganych, nadmiernych lub znaczących ilości danych.
  • Modyfikacja danych w systemach lub usługach organizacji.
  • Korzystanie z inwazyjnych lub szkodliwych narzędzi do skanowania z dużą intensywnością w celu wykrycia podatności.
  • Próby wywołania lub zgłoszenia wszelkich form odmowy usługi, np. poprzez przeciążenie usługi dużą liczbą zapytań.
  • Zakłócanie usług lub systemów organizacji.
  • Przesyłanie zgłoszeń dotyczących podatności, które nie umożliwiają eksploatowania, a także zgłoszeń informujących o niekompletnej zgodności usług z „najlepszymi praktykami”, np. o brakujących nagłówkach bezpieczeństwa.
  • Zgłaszanie podatności w konfiguracji TLS, np. dotyczące obsługi „słabego” zestawu szyfrów lub obecności obsługi TLS1.0.
  • Udostępnianie podatności lub związanych z nimi szczegółów w inny sposób niż opisano w opublikowanym pliku security.txt.
  • Inżynieria społeczna, „phishing” lub fizyczne ataki na personel lub infrastrukturę organizacji.
  • Żądanie rekompensaty finansowej za ujawnienie podatności.

 

Działania wymagane:

  • Stałe przestrzeganie zasad ochrony danych oraz nienaruszanie prywatności użytkowników, pracowników, zleceniobiorów, usług lub systemów organizacji. Nie wolno np. przekazywać dalej, udostępniać lub nieprawidłowo zabezpieczać danych odczytanych z systemów lub usług.
  • Bezpieczne usunięcie wszystkich danych pozyskanych w ramach badania sprawy, kiedy nie będą one już potrzebne lub w ciągu miesiąca od usunięcia podatności, w zależności od tego, co nastąpi wcześniej (lub zgodnie z przepisami ustawy o ochronie danych).
Kwestie prawne

Te wytyczne są skonstruowane w taki sposób, aby osoby wykrywające luki zgodnie z instrukcjami nie były narażone na konsekwencje karne.

Zgłaszanie podatności

W przypadku wykrycia podatności w systemach informatycznych i aplikacjach sieciowych firmy BORA Vertriebs GmbH & Co KG lub w produktach wprowadzanych na rynek przez BORA Vertriebs GmbH & Co KG prosimy o poinformowanie nas o nich. Wówczas bezzwłocznie podejmiemy działania w celu jak najszybszego zwalczenia wykrytych podatności.

 

W tym celu należy postąpić w następujący sposób:

  • Przed przesłaniem zgłoszenia zasięgnąć informacji na temat przypadków, które nie są objęte zakresem naszej polityki ujawniania podatności i nie są przetwarzane w jej ramach.
  • Przesłać swoje ustalenia na temat problemu z bezpieczeństwem e-mailem na adres security@bora.com.
  • Nie wykorzystywać podatności lub problemu w celu np. pobierania, modyfikacji i usuwania danych ani wgrywania kodu.
  • Nie przekazywać informacji o podatnościach zewnętrznym osobom ani instytucjom z wyjątkiem sytuacji, gdy zostało to wyraźnie dozwolone przez firmę BORA Vertriebs GmbH & Co KG.
  • Nie przeprowadzać ataków na nasze systemy informatyczne, które mogłyby doprowadzić do narażenia, zmodyfikowania lub zmanipulowania infrastruktury i osób.
  • Nie przeprowadzać działań z zakresu inżynierii społecznej (np. phishingu), (Distributed) Denial of Service, wysyłki spamu ani innych ataków na firmę BORA Vertriebs GmbH & Co KG.
  • Udostępnić nam wystarczającą ilość informacji, abyśmy mogli odtworzyć i przeanalizować problem. Podać dane kontaktowe, z których możemy skorzystać w przypadku dodatkowych pytań.
Jesteśmy do Waszej dyspozycji!
Innstrasse 1
6342 Niederndorf
Austria
+49 8035 9840 0
00800 7890 0987 UIFN*
support@bora.com

* UIFN – Universal International Freephone Number

Sklep
Produkty
Serwis
instagramyoutubeblackpinterestlinkedinfacebook
Dane o firmie Ochrona danych Vulnerability Disclosure Policy Whistleblower system Ustawienia plików cookie

© Copyright 2025 BORA Vertriebs GmbH & Co KG