 Security

Ve společnosti iKelp bereme bezpečnost našich služeb, infrastruktury a zákaznických dat vážně. Pokud se domníváte, že jste objevili bezpečnostní zranitelnost v některé službě, produktu, webové stránce nebo související infrastruktuře iKelp, nahlaste nám ji odpovědně.

 Jak nahlásit zranitelnost

Bezpečnostní hlášení zasílejte na:

[security(at)ikelp.com](https://www.ikelp.com/javascript:linkToUnCryptMailto%28'nbjmup;tfdvsjuzAjlfmq/dpn'%29;)

Pro rychlejší a přesnější vyhodnocení prosíme uveďte co nejvíce z následujících informací:

 dotčená doména, aplikace nebo služba,
 podrobný popis problému,
 přesný postup reprodukce,
 ukázku, screenshoty, logy nebo proof of concept,
 odhad možného dopadu,
 kontakt na vás pro případ doplňujících dotazů.

 Náš přístup

U legitimních bezpečnostních hlášení se budeme snažit:

 potvrdit přijetí hlášení,
 nález prověřit a vyhodnotit,
 stanovit prioritu podle závažnosti a dopadu,
 přiměřeně komunikovat během řešení.

 Rozsah

Tato politika se vztahuje na služby provozované společností iKelp, včetně veřejných webových stránek, zákaznických SaaS služeb, API rozhraní a podpůrné infrastruktury spravované iKelp.

Typicky sem patří například:

 .ikelp.com
 .ikelp.cloud
 další veřejné služby, které iKelp provozuje.

Pokud si nejste jistý, zda konkrétní systém patří pod iKelp, pošlete nám informace a my to prověříme.

 Mimo rozsah

Za běžných okolností nepovažujeme za relevantní zejména:

 spam nebo emailové bestpractice problémy bez reálného bezpečnostního dopadu,
 chybějící security hlavičky bez praktického scénáře zneužití,
 clickjacking na stránkách bez citlivých operací,
 DoS, zátěžové testování nebo pokusy o vyčerpání zdrojů,
 social engineering, phishing, pretexting nebo fyzické útoky,
 útoky na systémy třetích stran, které iKelp neprovozuje,
 hlášení založená pouze na zastaralé verzi softwaru bez prokazatelného dopadu,
 selfXSS nebo problémy vyžadující nereálně vysokou míru interakce uživatele,
 výstupy automatických skenerů bez analýzy a reprodukce problému.

 Pravidla odpovědného testování

Prosíme:

 jednejte v dobré víře,
 minimalizujte zásahy do provozu a soukromí uživatelů,
 testujte jen v rozsahu nutném k potvrzení problému,
 nepřistupujte k datům, která vám nepatří,
 neupravujte ani nemažte cizí data,
 po potvrzení zranitelnosti další testování ukončete,
 nahlaste problém bez zbytečného odkladu.

Prosíme nedělejte:

 zneužití zranitelnosti nad rámec nutný pro důkaz,
 vytváření trvalého přístupu nebo backdoorů,
 destruktivní testování,
 veřejné zveřejnění problému před jeho prověřením a nápravou.

 Safe harbor

Pokud jednáte v dobré víře, postupujete podle této politiky, neporušujete soukromí, nezpůsobujete výpadky a dáte nám přiměřený čas na prověření a opravu problému, iKelp nebude takový výzkum v rámci této politiky považovat za neoprávněný.

Tato zásada se vztahuje pouze na činnosti v souladu s touto politikou a nevztahuje se na jednání, které porušuje právní předpisy, regulaci nebo práva třetích stran.

 Bug bounty

iKelp v současnosti neprovozuje veřejný bug bounty program, pokud není výslovně uvedeno jinak.

 Kontakt

Bezpečnostní hlášení: [security(at)ikelp.com](https://www.ikelp.com/javascript:linkToUnCryptMailto%28'nbjmup;tfdvsjuzAjlfmq/dpn'%29;)

Report můžete poslat v češtině nebo angličtině.