Programulnostrudedivulgareresponsabilăavulnerabilităților—cumsăraportațiproblemedesecuritateșiprotecțiilepecareleoferimcercetătorilor.
Penteor Technology Limited se angajează să mențină securitatea și reziliența platformelor și serviciilor sale. Salutăm rapoarte privind vulnerabilități transmise în mod responsabil din partea cercetătorilor de securitate, specialiștilor independenți în securitate, clienților și partenerilor care descoperă potențiale vulnerabilități în sistemele noastre accesibile public. Acest program stabilește ce poate fi raportat în cadrul programului, procedura de raportare, protecțiile oferite cercetătorilor de bună credință, obligațiile noastre și condițiile în care sunt acordate recompense. Această politică este aliniată cu cadrul de divulgare coordonată a vulnerabilităților conform Articolului 12 din Directiva NIS2 (UE) 2022/2555 și ghidurile relevante emise de ENISA.
Sistemele incluse în domeniul de aplicare al programului sunt: portalul nostru web accesibil public și interfețele aplicațiilor pentru clienți, endpoint-urile API publicate și mecanismele de autentificare, infrastructura accesibilă extern din domeniile aflate în proprietatea sau sub controlul Penteor, și controalele de securitate ale emailului (SPF, DKIM, DMARC). Vulnerabilitățile care se încadrează în categoriile OWASP Top 10 care afectează confidențialitatea, integritatea sau disponibilitatea sunt de interes principal. Sunt excluse în mod expres: sediile fizice, sistemele interne, atacurile DoS/DDoS, atacurile de forță brută, ingineria socială a angajaților, platformele SaaS terțe în afara controlului nostru, constatările bazate exclusiv pe scanări automatizate fără o dovadă de concept validată, și vulnerabilitățile în software care nu mai este întreținut de Penteor.
Prin participarea la acest program, acceptați următoarele condiții: testare realizată exclusiv cu bună credință — să limitați orice exploatare la ceea ce este necesar pentru a demonstra impactul; fără teste care pot afecta funcționarea și fără degradarea serviciilor; fără inginerie socială a angajaților Penteor; un impact minim asupra sistemelor — accesați doar datele strict necesare; demonstrații sigure folosind payload-uri sigure, niciodată date reale din producție; oprirea imediată a testării dacă sunt accesate accidental date cu caracter personal, cu notificare promptă către noi; fără divulgarea prematură a vulnerabilităților — nu publicați detalii până nu confirmăm implementarea unei remedieri sau autorizăm divulgarea.
Cercetătorii care respectă integral termenii acestui program — inclusiv domeniul, regulile de implicare și procesul de raportare — nu vor fi supuși unor acțiuni legale, unor pretenții de despăgubire sau sesizării autorităților de aplicare a legii din partea Penteor. Această protecție se aplică în măsura în care acționează cu bună-credință pentru îmbunătățirea securității. Nu acoperă daunele intenționate, exfiltrarea datelor dincolo de ceea ce este strict necesar pentru demonstrarea conceptului, șantajul, exploatarea dincolo de ceea ce este necesar pentru a documenta o vulnerabilitate, sau divulgarea către terți înainte de remedierea convenită. Această protecție este aliniată cu recomandările din cadrele europene de securitate cibernetică, inclusiv Ghidul ENISA de Bune Practici CVD și Articolul 12 NIS2.
Toate rapoartele de vulnerabilitate se transmit prin intermediul paginii noastre de Contact, și trebuie marcate în mod clar ca rapoarte de vulnerabilitate de securitate. Fiecare raport va include: activul afectat (serviciu, endpoint sau domeniu specific); clasa de vulnerabilitate (de exemplu injecție SQL, control de acces defect, SSRF); pași clari de reproducere cu instrumentele și configurațiile utilizate; dovezi (capturi de ecran, capturi de trafic HTTP) cu datele personale redactate; evaluarea dumneavoastră a impactului (confidențialitate, integritate, disponibilitate); și datele dumneavoastră de contact (opțional, dar recomandat). Rapoartele vor fi transmise în limba engleză și tratăm toate raportările ca fiind confidențiale.
Confirmarea va fi trimisă în termen de trei (3) zile lucrătoare de la primire. Un proces inițial de triaj și evaluarea severității în termen de șapte (7) zile lucrătoare. O actualizare privind progresul va fi oferită în termen de zece (10) zile lucrătoare, sau mai devreme dacă problema este remediată. Un calendar de remediere va fi comunicat la confirmarea unei constatări validate. Un calendar de divulgare coordonată va fi convenit cu dumneavoastră după remediere. Dacă investigația noastră implică obligații conform Articolului 33 GDPR (notificare încălcare a securității datelor) sau Articolului 23 NIS2 (notificare incident semnificativ), vom acționa independent de termenele prevăzute în acest program.
Informațiile furnizate de dumneavoastră în timpul procesului de raportare — inclusiv datele de contact, conținutul raportului și materialele demonstrative — vor fi prelucrate în conformitate cu Politica noastră de Confidențialitate. Datele dumneavoastră personale vor fi utilizate strict pentru investigarea și remedierea vulnerabilității raportate. Orice date personale accesate accidental în timpul testării vor fi șterse la solicitarea noastră. Nu vom păstra datele din raport mai mult decât este necesar pentru remediere și conformitate. Puteți exercita drepturile dumneavoastră în calitate de persoană vizată (acces, ștergere, restricționare) prin intermediul paginii de Contact.
Evaluăm vulnerabilitățile folosind o abordare bazată pe risc, pe baza scorurilor CVSS și factori contextuali precum exploatabilitatea, sensibilitatea datelor și impactul asupra afacerii.
Ne rezervăm dreptul de a ne abate de la scorurile CVSS când evaluarea contextuală indică un nivel de severitate semnificativ diferit.
Penteor poate oferi recompense bazate pe impact pentru rezultate de securitate valide și originale — fie compensație financiară, fie pachete Swag, la discreția sa exclusivă. Eligibilitatea necesită: o demonstrație funcțională și reproductibilă; o vulnerabilitate originală care nu ne era cunoscută anterior sau nedivulgată public; conformitate completă cu regulile de implicare și domeniul. Rapoartele duplicate vor fi luate în considerare în ordinea primirii. Valoarea recompenselor este determinată de severitatea confirmată, calitatea raportului, exploatabilitatea și cooperarea cercetătorului. Ne rezervăm dreptul de a refuza acordarea recompenselor pentru constatări cu impact neglijabil sau nerespectarea termenilor programului.
Cu permisiunea dumneavoastră, Penteor poate recunoaște cercetătorii ale căror rapoarte conduc la constatări confirmate și remediate în lista noastră publică de recunoaștere în domeniul securității. Vă rugăm să indicați în raportul dumneavoastră dacă sunteți de acord să fiți menționat nominal.
Acest program va fi revizuit cel puțin anual și actualizat ca urmare a modificărilor portofoliului de produse Penteor, legislației și reglementărilor aplicabile (inclusiv transpunerile NIS2 în statele membre SEE) și ghidurilor ENISA privind bunele practici CVD. Modificările importante vor fi reflectate în data „Ultima actualizare". Pentru toate solicitările legate de acest program, vor fi transmise prin intermediul paginii noastre de Contact.