# Security

V iKelp berieme bezpečnosť našich služieb, infraštruktúry a zákazníckych dát vážne. Ak sa domnievate, že ste objavili bezpečnostnú zraniteľnosť v niektorej službe, produkte, webovej stránke alebo súvisiacej infraštruktúre iKelp, nahláste nám ju zodpovedne.

## Ako nahlásiť zraniteľnosť

Bezpečnostné hlásenia posielajte na:

**[security(at)ikelp.com](https://www.ikelp.com/javascript:linkTo_UnCryptMailto%28'nbjmup;tfdvsjuzAjlfmq/dpn'%29;)**

Pre rýchlejšie a presnejšie vyhodnotenie prosíme uveďte čo najviac z nasledujúcich informácií:

- dotknutá doména, aplikácia alebo služba,
- podrobný popis problému,
- presný postup reprodukcie,
- ukážku, screenshoty, logy alebo proof of concept,
- odhad možného dopadu,
- kontakt na vás pre prípad doplňujúcich otázok.

## Náš prístup

Pri legitímnom bezpečnostnom reporte sa budeme snažiť:

- potvrdiť prijatie hlásenia,
- nález preveriť a vyhodnotiť,
- určiť prioritu podľa závažnosti a dopadu,
- primerane komunikovať počas riešenia.

## Rozsah

Táto politika sa vzťahuje na služby prevádzkované spoločnosťou iKelp, vrátane verejných webových stránok, zákazníckych SaaS služieb, API rozhraní a podpornej infraštruktúry spravovanej iKelp.

Typicky sem patria napríklad:

- `*.ikelp.com`
- `*.ikelp.cloud`
- ďalšie verejné služby, ktoré iKelp prevádzkuje.

Ak si nie ste istý, či konkrétny systém patrí pod iKelp, pošlite nám informácie a preveríme to.

## Mimo rozsahu

Za bežných okolností nepovažujeme za relevantné najmä:

- spam alebo emailové best-practice problémy bez reálneho bezpečnostného dopadu,
- chýbajúce security hlavičky bez praktického scenára zneužitia,
- clickjacking na stránkach bez citlivých operácií,
- DoS, záťažové testovanie alebo pokusy o vyčerpanie zdrojov,
- social engineering, phishing, pretexting alebo fyzické útoky,
- útoky na systémy tretích strán, ktoré iKelp neprevádzkuje,
- hlásenia založené iba na zastaranej verzii softvéru bez preukázateľného dopadu,
- self-XSS alebo problémy vyžadujúce neprimerane nereálnu interakciu používateľa,
- výstupy automatických skenerov bez analýzy a reprodukcie problému.

## Pravidlá zodpovedného testovania

Prosíme:

- konajte v dobrej viere,
- minimalizujte zásahy do prevádzky a súkromia používateľov,
- testujte len v rozsahu potrebnom na potvrdenie problému,
- nepristupujte k dátam, ktoré vám nepatria,
- neupravujte ani nemažte cudzie dáta,
- po potvrdení zraniteľnosti ďalšie testovanie ukončite,
- nahláste problém bez zbytočného odkladu.

Prosíme nerobte:

- zneužitie zraniteľnosti nad rámec nutný na dôkaz,
- vytváranie trvalých prístupov alebo backdoorov,
- deštruktívne testovanie,
- verejné zverejnenie problému pred jeho preverení a náprave.

## Safe harbor

Ak konáte v dobrej viere, postupujete podľa tejto politiky, neporušujete súkromie, nespôsobujete výpadky a dáte nám primeraný čas na preverenie a opravu problému, iKelp nebude považovať takýto výskum za neoprávnený v rámci tejto politiky.

Táto zásada sa vzťahuje len na činnosti v súlade s touto politikou a nevzťahuje sa na konanie, ktoré porušuje právne predpisy, reguláciu alebo práva tretích strán.

## Bug bounty

iKelp v súčasnosti neprevádzkuje verejný bug bounty program, pokiaľ nie je výslovne uvedené inak.

## Kontakt

Bezpečnostné hlásenia: **[security(at)ikelp.com](https://www.ikelp.com/javascript:linkTo_UnCryptMailto%28'nbjmup;tfdvsjuzAjlfmq/dpn'%29;)**

Report môžete poslať v slovenčine alebo v angličtine.