Regulamin korzystania z platformy cybersec ZAMEL Sp. z o.o.

1. Postanowienia ogólne

  1. Niniejszy regulamin określa zasady korzystania z platformy cybersec służącej do zgłaszania luk, podatności, incydentów oraz naruszeń bezpieczeństwa dotyczących produktów i usług ZAMEL Sp. z o.o.
  2. Właścicielem platformy i administratorem procesu obsługi zgłoszeń bezpieczeństwa jest:
  • ZAMEL Sp. z o.o.
  • NIP: 6380000669
  • ul. Zielona 27
  • 43-200 Pszczyna
  1. Platforma jest przeznaczona wyłącznie do spraw bezpieczeństwa i nie zastępuje kanałów handlowych, serwisowych, reklamacyjnych ani wsparcia technicznego dla zwykłych zgłoszeń użytkowych.
  2. Korzystanie z platformy oznacza akceptację niniejszego regulaminu.

2. Definicje

Na potrzeby regulaminu:

  • platforma oznacza portal cybersec ZAMEL Sp. z o.o.
  • zgłaszający oznacza osobę lub podmiot przekazujący zgłoszenie bezpieczeństwa
  • zgłoszenie oznacza informację o luce, podatności, incydencie, naruszeniu bezpieczeństwa albo innym problemie wpływającym na bezpieczeństwo produktu lub usługi
  • tracking ID oznacza identyfikator sprawy nadawany po rejestracji zgłoszenia
  • sekret dostępu oznacza poufny token służący do sprawdzenia statusu zgłoszenia bez tworzenia konta

3. Zakres dopuszczalnego użycia

Zgłaszający może korzystać z platformy w celu:

  • przekazania zgłoszenia bezpieczeństwa dotyczącego produktu, usługi, komponentu, integracji lub procesu objętego zakresem ZAMEL Sp. z o.o.
  • przesłania materiału pomocniczego, w tym logów, zrzutów ekranu, opisów technicznych albo ograniczonego PoC
  • śledzenia statusu sprawy przy użyciu tracking ID i sekretu dostępu

4. Działanie w dobrej wierze

  1. Zgłaszający powinien działać w dobrej wierze, z poszanowaniem prawa, prywatności osób trzecich oraz ciągłości działania systemów.
  2. Dopuszczalne są wyłącznie działania niezbędne do zidentyfikowania i udokumentowania problemu bezpieczeństwa.
  3. Zgłaszający nie powinien:
  • powodować przerw w działaniu usług
  • niszczyć, zmieniać lub usuwać danych
  • utrwalać nieautoryzowanego dostępu
  • eskalować uprawnień ponad zakres konieczny do potwierdzenia problemu
  • pozyskiwać większego zakresu danych, niż jest to bezwzględnie konieczne do przygotowania zgłoszenia
  1. Niniejszy regulamin nie stanowi generalnej zgody na prowadzenie testów bezpieczeństwa wobec dowolnych środowisk ZAMEL Sp. z o.o. poza zakresem niezbędnym do przygotowania konkretnego zgłoszenia.

5. Treść zgłoszenia

  1. Zgłoszenie powinno zawierać możliwie dokładne i rzetelne informacje techniczne.
  2. W szczególności zaleca się podanie:
  • grupy produktowej lub nazwy produktu
  • wersji, środowiska, konfiguracji albo scenariusza użycia
  • tytułu i opisu problemu
  • kroków reprodukcji albo PoC
  • przewidywanego lub zaobserwowanego wpływu
  • danych kontaktowych zgłaszającego, o ile zgłoszenie nie jest anonimowe
  1. ZAMEL Sp. z o.o. może pozostawić bez dalszego biegu zgłoszenia oczywiście bezzasadne, niezwiązane z bezpieczeństwem, nieczytelne, duplikujące znane sprawy albo naruszające prawo.

6. Załączniki i materiały pomocnicze

  1. Załączniki są opcjonalne.
  2. Zgłaszający może przesyłać wyłącznie pliki związane ze zgłoszeniem bezpieczeństwa.
  3. Zabronione jest przesyłanie materiałów, które:
  • nie dotyczą sprawy bezpieczeństwa
  • zawierają złośliwy kod wykraczający poza niezbędny PoC
  • naruszają prawa osób trzecich
  • zawierają nadmiarowe dane osobowe lub dane poufne, których przekazanie nie jest konieczne

7. Tracking i poufność danych dostępowych

  1. Po przyjęciu zgłoszenia platforma generuje tracking ID oraz sekret dostępu.
  2. Tracking ID i sekret dostępu umożliwiają podgląd statusu sprawy bez tworzenia konta użytkownika.
  3. Zgłaszający jest zobowiązany do zachowania sekretu dostępu w poufności.
  4. ZAMEL Sp. z o.o. nie ponosi odpowiedzialności za skutki ujawnienia tracking ID i sekretu dostępu przez zgłaszającego.

8. Komunikacja i disclosure

  1. Komunikacja zwrotna może odbywać się przez platformę trackingową, pocztę elektroniczną albo kanał PGP.
  2. ZAMEL Sp. z o.o. obsługuje zgłoszenia w modelu coordinated vulnerability disclosure.
  3. Zgłaszający powinien powstrzymać się od publicznego ujawniania szczegółów podatności do czasu zakończenia uzgodnionego procesu disclosure albo do czasu, gdy obowiązujące przepisy wymagają innego działania.
  4. ZAMEL Sp. z o.o. może nadać sprawie wewnętrzny identyfikator, klasyfikację severity, CVSS lub CVE, jeśli uzna to za zasadne.

9. Brak programu nagród

  1. Korzystanie z platformy nie oznacza udziału w programie bug bounty.
  2. O ile ZAMEL Sp. z o.o. nie opublikuje odrębnych zasad, zgłoszenie nie rodzi prawa do wynagrodzenia, nagrody ani zwrotu kosztów.

10. Dane osobowe i retencja

  1. Dane osobowe przekazane w zgłoszeniu są przetwarzane w celu przyjęcia, oceny, obsługi, dokumentowania i zamknięcia sprawy bezpieczeństwa oraz realizacji obowiązków prawnych.
  2. Szczegółowe zasady przetwarzania danych osobowych określa informacja o przetwarzaniu danych osobowych publikowana na platformie.
  3. Okresy przechowywania danych wynikają z polityki retencji oraz obowiązków prawnych i dowodowych związanych z bezpieczeństwem.

11. Odpowiedzialność

  1. Zgłaszający odpowiada za legalność, prawdziwość i adekwatność przekazywanych treści.
  2. ZAMEL Sp. z o.o. nie gwarantuje potwierdzenia każdej zgłoszonej tezy technicznej, przyjęcia proponowanej klasyfikacji severity ani wdrożenia oczekiwanego terminu remediacji.
  3. Platforma jest udostępniana jako kanał komunikacji bezpieczeństwa, a nie jako odrębna usługa objęta gwarancją dostępności.

12. Zmiany regulaminu

  1. Regulamin może być aktualizowany w związku ze zmianami procesu, prawa, zakresu produktów lub wymogów bezpieczeństwa.
  2. Aktualna wersja regulaminu jest publikowana na platformie.

13. Kontakt

W sprawach dotyczących działania platformy cybersec należy korzystać z danych kontaktowych opublikowanych na stronie kontaktowej platformy.