 Security

V iKelp berieme bezpečnosť našich služieb, infraštruktúry a zákazníckych dát vážne. Ak sa domnievate, že ste objavili bezpečnostnú zraniteľnosť v niektorej službe, produkte, webovej stránke alebo súvisiacej infraštruktúre iKelp, nahláste nám ju zodpovedne.

 Ako nahlásiť zraniteľnosť

Bezpečnostné hlásenia posielajte na:

[security(at)ikelp.com](https://www.ikelp.com/javascript:linkToUnCryptMailto%28'nbjmup;tfdvsjuzAjlfmq/dpn'%29;)

Pre rýchlejšie a presnejšie vyhodnotenie prosíme uveďte čo najviac z nasledujúcich informácií:

 dotknutá doména, aplikácia alebo služba,
 podrobný popis problému,
 presný postup reprodukcie,
 ukážku, screenshoty, logy alebo proof of concept,
 odhad možného dopadu,
 kontakt na vás pre prípad doplňujúcich otázok.

 Náš prístup

Pri legitímnom bezpečnostnom reporte sa budeme snažiť:

 potvrdiť prijatie hlásenia,
 nález preveriť a vyhodnotiť,
 určiť prioritu podľa závažnosti a dopadu,
 primerane komunikovať počas riešenia.

 Rozsah

Táto politika sa vzťahuje na služby prevádzkované spoločnosťou iKelp, vrátane verejných webových stránok, zákazníckych SaaS služieb, API rozhraní a podpornej infraštruktúry spravovanej iKelp.

Typicky sem patria napríklad:

 .ikelp.com
 .ikelp.cloud
 ďalšie verejné služby, ktoré iKelp prevádzkuje.

Ak si nie ste istý, či konkrétny systém patrí pod iKelp, pošlite nám informácie a preveríme to.

 Mimo rozsahu

Za bežných okolností nepovažujeme za relevantné najmä:

 spam alebo emailové bestpractice problémy bez reálneho bezpečnostného dopadu,
 chýbajúce security hlavičky bez praktického scenára zneužitia,
 clickjacking na stránkach bez citlivých operácií,
 DoS, záťažové testovanie alebo pokusy o vyčerpanie zdrojov,
 social engineering, phishing, pretexting alebo fyzické útoky,
 útoky na systémy tretích strán, ktoré iKelp neprevádzkuje,
 hlásenia založené iba na zastaranej verzii softvéru bez preukázateľného dopadu,
 selfXSS alebo problémy vyžadujúce neprimerane nereálnu interakciu používateľa,
 výstupy automatických skenerov bez analýzy a reprodukcie problému.

 Pravidlá zodpovedného testovania

Prosíme:

 konajte v dobrej viere,
 minimalizujte zásahy do prevádzky a súkromia používateľov,
 testujte len v rozsahu potrebnom na potvrdenie problému,
 nepristupujte k dátam, ktoré vám nepatria,
 neupravujte ani nemažte cudzie dáta,
 po potvrdení zraniteľnosti ďalšie testovanie ukončite,
 nahláste problém bez zbytočného odkladu.

Prosíme nerobte:

 zneužitie zraniteľnosti nad rámec nutný na dôkaz,
 vytváranie trvalých prístupov alebo backdoorov,
 deštruktívne testovanie,
 verejné zverejnenie problému pred jeho preverení a náprave.

 Safe harbor

Ak konáte v dobrej viere, postupujete podľa tejto politiky, neporušujete súkromie, nespôsobujete výpadky a dáte nám primeraný čas na preverenie a opravu problému, iKelp nebude považovať takýto výskum za neoprávnený v rámci tejto politiky.

Táto zásada sa vzťahuje len na činnosti v súlade s touto politikou a nevzťahuje sa na konanie, ktoré porušuje právne predpisy, reguláciu alebo práva tretích strán.

 Bug bounty

iKelp v súčasnosti neprevádzkuje verejný bug bounty program, pokiaľ nie je výslovne uvedené inak.

 Kontakt

Bezpečnostné hlásenia: [security(at)ikelp.com](https://www.ikelp.com/javascript:linkToUnCryptMailto%28'nbjmup;tfdvsjuzAjlfmq/dpn'%29;)

Report môžete poslať v slovenčine alebo v angličtine.