# Security

Ve společnosti iKelp bereme bezpečnost našich služeb, infrastruktury a zákaznických dat vážně. Pokud se domníváte, že jste objevili bezpečnostní zranitelnost v některé službě, produktu, webové stránce nebo související infrastruktuře iKelp, nahlaste nám ji odpovědně.

## Jak nahlásit zranitelnost

Bezpečnostní hlášení zasílejte na:

**[security(at)ikelp.com](https://www.ikelp.com/javascript:linkTo_UnCryptMailto%28'nbjmup;tfdvsjuzAjlfmq/dpn'%29;)**

Pro rychlejší a přesnější vyhodnocení prosíme uveďte co nejvíce z následujících informací:

- dotčená doména, aplikace nebo služba,
- podrobný popis problému,
- přesný postup reprodukce,
- ukázku, screenshoty, logy nebo proof of concept,
- odhad možného dopadu,
- kontakt na vás pro případ doplňujících dotazů.

## Náš přístup

U legitimních bezpečnostních hlášení se budeme snažit:

- potvrdit přijetí hlášení,
- nález prověřit a vyhodnotit,
- stanovit prioritu podle závažnosti a dopadu,
- přiměřeně komunikovat během řešení.

## Rozsah

Tato politika se vztahuje na služby provozované společností iKelp, včetně veřejných webových stránek, zákaznických SaaS služeb, API rozhraní a podpůrné infrastruktury spravované iKelp.

Typicky sem patří například:

- `*.ikelp.com`
- `*.ikelp.cloud`
- další veřejné služby, které iKelp provozuje.

Pokud si nejste jistý, zda konkrétní systém patří pod iKelp, pošlete nám informace a my to prověříme.

## Mimo rozsah

Za běžných okolností nepovažujeme za relevantní zejména:

- spam nebo emailové best-practice problémy bez reálného bezpečnostního dopadu,
- chybějící security hlavičky bez praktického scénáře zneužití,
- clickjacking na stránkách bez citlivých operací,
- DoS, zátěžové testování nebo pokusy o vyčerpání zdrojů,
- social engineering, phishing, pretexting nebo fyzické útoky,
- útoky na systémy třetích stran, které iKelp neprovozuje,
- hlášení založená pouze na zastaralé verzi softwaru bez prokazatelného dopadu,
- self-XSS nebo problémy vyžadující nereálně vysokou míru interakce uživatele,
- výstupy automatických skenerů bez analýzy a reprodukce problému.

## Pravidla odpovědného testování

Prosíme:

- jednejte v dobré víře,
- minimalizujte zásahy do provozu a soukromí uživatelů,
- testujte jen v rozsahu nutném k potvrzení problému,
- nepřistupujte k datům, která vám nepatří,
- neupravujte ani nemažte cizí data,
- po potvrzení zranitelnosti další testování ukončete,
- nahlaste problém bez zbytečného odkladu.

Prosíme nedělejte:

- zneužití zranitelnosti nad rámec nutný pro důkaz,
- vytváření trvalého přístupu nebo backdoorů,
- destruktivní testování,
- veřejné zveřejnění problému před jeho prověřením a nápravou.

## Safe harbor

Pokud jednáte v dobré víře, postupujete podle této politiky, neporušujete soukromí, nezpůsobujete výpadky a dáte nám přiměřený čas na prověření a opravu problému, iKelp nebude takový výzkum v rámci této politiky považovat za neoprávněný.

Tato zásada se vztahuje pouze na činnosti v souladu s touto politikou a nevztahuje se na jednání, které porušuje právní předpisy, regulaci nebo práva třetích stran.

## Bug bounty

iKelp v současnosti neprovozuje veřejný bug bounty program, pokud není výslovně uvedeno jinak.

## Kontakt

Bezpečnostní hlášení: **[security(at)ikelp.com](https://www.ikelp.com/javascript:linkTo_UnCryptMailto%28'nbjmup;tfdvsjuzAjlfmq/dpn'%29;)**

Report můžete poslat v češtině nebo angličtině.