1. Cel
Jeżeli zauważysz potencjalną podatność bezpieczeństwa związaną z ABAStroke, prosimy o zgłoszenie jej bezpośrednio do naszego zespołu.
Celem tej polityki jest umożliwienie odpowiedzialnego przekazywania informacji o problemach bezpieczeństwa, tak abyśmy mogli ocenić ryzyko i podjąć odpowiednie działania.
2. Jak zgłaszać podatność
Zgłoszenia dotyczące bezpieczeństwa prosimy przesyłać na adres:
Jeżeli zgłoszenie zawiera informacje techniczne lub wrażliwe, zalecamy zaszyfrowanie wiadomości naszym kluczem publicznym PGP:
https://abastroke.com/.well-known/pgp-publickey.asc
Brak użycia PGP nie blokuje zgłoszenia. Jeżeli nie możesz zaszyfrować wiadomości, nadal możesz przesłać zgłoszenie na wskazany adres e-mail.
3. Jakie informacje warto przesłać
Aby ułatwić analizę, prosimy podać, o ile to możliwe:
- opis problemu,
- kroki potrzebne do odtworzenia problemu,
- informację, którego elementu systemu dotyczy zgłoszenie, np. aplikacji mobilnej, backendu, strony internetowej lub infrastruktury,
- ocenę potencjalnego skutku problemu, jeżeli jest znana,
- dane kontaktowe do dalszej komunikacji.
Jeżeli nie masz wszystkich tych informacji, nadal zachęcamy do przesłania zgłoszenia.
4. Jak będziemy reagować
Po otrzymaniu zgłoszenia postaramy się:
- potwierdzić jego odbiór w rozsądnym terminie,
- ocenić, czy opisany problem dotyczy bezpieczeństwa,
- w razie potrzeby poprosić o doprecyzowanie informacji,
- zaplanować działania naprawcze odpowiednio do poziomu ryzyka.
Nie gwarantujemy rozwiązania każdego zgłoszenia w określonym terminie, ale zgłoszenia bezpieczeństwa traktujemy priorytetowo.
5. Zasady odpowiedzialnego zgłaszania
Prosimy o odpowiedzialne zgłaszanie podatności:
- nie udostępniaj publicznie szczegółów podatności przed otrzymaniem od nas odpowiedzi albo przed upływem uzgodnionego czasu na analizę i reakcję,
- nie podejmuj działań, które mogłyby naruszyć dostępność usługi, integralność danych albo prywatność użytkowników,
- nie próbuj uzyskiwać dostępu do danych, kont lub zasobów, które nie należą do Ciebie,
- ogranicz testy do minimum potrzebnego do potwierdzenia istnienia problemu.
6. Okno czasowe przed ujawnieniem
Co do zasady prosimy, aby przed publicznym ujawnieniem podatności dać nam czas na analizę i wdrożenie działań naprawczych.
Przyjmujemy okres do 90 dni od potwierdzenia przyjęcia kompletnego zgłoszenia, chyba że charakter problemu uzasadnia inny termin.
W szczególnych przypadkach termin może zostać wspólnie uzgodniony inaczej.
7. Zakres ochrony osoby zgłaszającej
Jeżeli zgłaszający działa w dobrej wierze, wyłącznie w celu odpowiedzialnego poinformowania o podatności i zgodnie z tą polityką, ABAStroke co do zasady nie będzie dążyć do podejmowania działań przeciwko takiej osobie tylko z powodu samego zgłoszenia.
Powyższe nie obejmuje sytuacji, w których dochodzi do:
- naruszenia prawa,
- celowego dostępu do danych pacjentów, użytkowników lub innych danych poufnych,
- zakłócania działania usług,
- wykorzystania podatności poza zakresem niezbędnym do jej potwierdzenia,
- działań powodujących szkody po stronie użytkowników, partnerów lub ABAStroke.
8. Czego ten kanał nie obejmuje
Ten kanał służy wyłącznie do zgłaszania podatności bezpieczeństwa. Nie jest to kanał do:
- obsługi problemów technicznych niezwiązanych z bezpieczeństwem,
- składania reklamacji,
- obsługi spraw związanych z dostępem do terapii,
- przesyłania danych medycznych lub dokumentacji pacjenta.
Takie sprawy powinny być kierowane przez standardowe kanały kontaktu ABAStroke.
9. Zastrzeżenia
Publikacja tej polityki nie stanowi zaproszenia do prowadzenia szeroko zakrojonych testów penetracyjnych, skanowania infrastruktury ani innych działań wykraczających poza odpowiedzialne i ograniczone potwierdzenie potencjalnej podatności.
ABAStroke może aktualizować tę politykę.