Polityka zgłaszania podatności ZAMEL Sp. z o.o.

1. Cel dokumentu

Niniejsza polityka opisuje zasady zgłaszania, triage, obsługi, remediacji i skoordynowanego ujawniania podatności bezpieczeństwa dotyczących produktów i usług ZAMEL Sp. z o.o.

2. Właściciel polityki

Właścicielem polityki i kanału zgłoszeń jest:

  • ZAMEL Sp. z o.o.
  • NIP: 6380000669
  • ul. Zielona 27
  • 43-200 Pszczyna

3. Zakres

Polityka obejmuje zgłoszenia dotyczące między innymi następujących grup produktowych:

  • ExtaLife
  • Exalus TR7
  • Lavva
  • Supla
  • Entra
  • Matec
  • pozostałych produktów i usług ZAMEL Sp. z o.o. objętych procesem bezpieczeństwa

4. Kanały zgłoszeń

Zgłoszenia mogą być przekazywane przez:

  • publiczny formularz platformy cybersec
  • kanał PGP opublikowany na platformie
  • inny zatwierdzony kanał wskazany przez ZAMEL Sp. z o.o.

5. Oczekiwania wobec zgłaszającego

ZAMEL Sp. z o.o. oczekuje, że zgłaszający:

  • działa w dobrej wierze
  • ogranicza działania do minimum koniecznego do potwierdzenia problemu
  • nie powoduje celowego zakłócenia usług
  • nie pozyskuje i nie ujawnia nadmiarowych danych
  • przekazuje zgłoszenie możliwie szybko po potwierdzeniu problemu

6. Działania niedopuszczalne

Bez odrębnego uzgodnienia nie należy:

  • prowadzić testów destrukcyjnych
  • utrwalać dostępu do systemów
  • eskalować uprawnień ponad zakres niezbędny do potwierdzenia podatności
  • przetwarzać danych osób trzecich szerzej niż to konieczne do przygotowania zgłoszenia
  • publicznie ujawniać szczegółów podatności przed uzgodnionym disclosure

7. Jakie informacje powinno zawierać zgłoszenie

W zgłoszeniu należy, o ile to możliwe, podać:

  • grupę produktową lub nazwę produktu
  • wersję, środowisko, konfigurację i warunki wystąpienia
  • krótki tytuł problemu
  • opis techniczny
  • kroki reprodukcji lub PoC
  • wpływ na poufność, integralność, dostępność, prywatność albo bezpieczeństwo produktu
  • dane kontaktowe albo wskazanie zgłoszenia anonimowego

8. Obsługa zgłoszenia przez ZAMEL Sp. z o.o.

Po otrzymaniu zgłoszenia ZAMEL Sp. z o.o.:

  1. rejestruje sprawę i nadaje tracking ID
  2. przypisuje zgłoszenie do właściwej grupy produktowej
  3. prowadzi triage i klasyfikację severity
  4. ocenia wpływ biznesowy i techniczny
  5. podejmuje decyzję o remediacji, ograniczeniu ryzyka, disclosure i ewentualnych notyfikacjach
  6. dokumentuje działania w śladzie audytowym

9. Komunikacja zwrotna

Komunikacja zwrotna może odbywać się przez:

  • portal trackingowy
  • pocztę elektroniczną
  • kanał PGP, jeśli zgłaszający udostępni własny klucz publiczny

ZAMEL Sp. z o.o. może ograniczyć zakres komunikacji, jeżeli zgłoszenie jest anonimowe albo nie zawiera danych potrzebnych do kontaktu.

10. Classification, CVSS, CVE i identyfikatory wewnętrzne

  1. ZAMEL Sp. z o.o. samodzielnie ocenia severity, scoring CVSS, potrzebę nadania CVE i identyfikatorów wewnętrznych.
  2. W sprawie mogą zostać użyte:
  • identyfikatory wewnętrzne PSIRT lub incydentu
  • identyfikator CVE
  • opis remediacji lub działań tymczasowych
  1. Identyfikatory istotne dla przebiegu sprawy mogą być publikowane w trackingowym widoku zgłoszenia.

11. Disclosure

  1. ZAMEL Sp. z o.o. prowadzi obsługę zgłoszeń w modelu coordinated vulnerability disclosure.
  2. Publiczne disclosure może nastąpić po:
  • przygotowaniu poprawki lub działań ograniczających
  • ocenie ryzyka dla użytkowników
  • wykonaniu niezbędnych działań notyfikacyjnych
  • uznaniu, że publikacja jest uzasadniona z punktu widzenia bezpieczeństwa
  1. ZAMEL Sp. z o.o. może opublikować advisory bezpieczeństwa także bez udziału zgłaszającego, jeżeli wymagają tego względy bezpieczeństwa lub obowiązki prawne.

12. Brak programu nagród

Niniejsza polityka nie ustanawia programu bug bounty ani automatycznego prawa do nagrody.

13. Zastrzeżenia

  1. Przyjęcie zgłoszenia nie oznacza automatycznego potwierdzenia istnienia podatności.
  2. Zgłoszenia niezwiązane z bezpieczeństwem albo naruszające prawo mogą zostać odrzucone.
  3. Niniejsza polityka nie stanowi generalnego upoważnienia do prowadzenia testów bezpieczeństwa wobec infrastruktury ZAMEL Sp. z o.o.

14. Przegląd dokumentu

Polityka jest poddawana okresowemu przeglądowi oraz aktualizowana po istotnych zmianach organizacyjnych, produktowych lub prawnych.