Polityka dot. ujawniania luk

Ostatnia aktualizacja: 5 września 2019 r.

Kraken Security Labs prowadzi rutynowe badania nad bezpieczeństwem powszechnie używanych aplikacji, sprzętu i produktów. Badania mają na celu edukowanie i chronienie użytkowników końcowych takich usług i produktów. Niniejsza polityka określa to, jak Kraken Security Labs postępuje w kontekście odpowiedzialnego ujawniania luk w zabezpieczeniach produktów i usług stron trzecich.

Kraken Security Labs powiadomi odpowiedniego dostawcę o luk w zabezpieczeniach jego produktów i/lub usług. Pierwsza próba kontaktu zostanie podjęta za pośrednictwem odpowiednich osób kontaktowych lub formalnych mechanizmów opisanych na stronie dostawcy. Jeśli takie informacje kontaktowe nie będą jednak udostępnione, Kraken Security Labs dołoży wszelkich starań, aby znaleźć odpowiednie medium kontaktu. Po znalezieniu formalnego lub odpowiedniego mechanizmu kontaktu odpowiednie informacje o luce zostaną w bezpieczny sposób przesłane do dostawcy.

Jeśli dostawca nie potwierdzi pierwszego powiadomienia w ciągu pięciu (5) dni roboczych, Kraken Security Labs podejmie drugą próbę kontaktu. Jeśli Kraken Security Labs wyczerpie wszystkie ww. środki mające na celu skontaktowanie się ze dostawcą, może wydać publiczne ujawnienie swoich ustaleń piętnaście (15) dni roboczych po pierwszej próbie kontaktu.

Jeśli Kraken Security Labs otrzyma od dostawcy odpowiedź w ww. ramach czasowych, poprosimy go o określenie pożądanych ram czasowych dla działań naprawczych. Kraken Security Labs da dostawcy do dziewięćdziesięciu (90) dni kalendarzowych na usunięcie luki drogą wydania poprawki. Po upływie tego terminu lub wcześniej (jeśli nastąpi powiadomienie ze strony dostawcy), jeśli luka została naprawiona lub jeśli dostawca nie odpowiada lub nie jest w stanie przedstawić mieszczącego się w granicach rozsądku oświadczenia, dlaczego luka nie została naprawiona, Kraken Security Labs opublikuje publicznie dostępne zalecenia dotyczące złagodzenia efektów luki w celu ochrony użytkowników końcowych.

Kraken Security Labs dołoży wszelkich starań, aby współpracować z dostawcami w celu zagwarantowania, iż rozumieją oni szczegóły techniczne i wagę zgłoszonej luki w zabezpieczeniach. Jeśli dostawca produktu nie będzie mógł lub nie zechce naprawić danej luki bezpieczeństwa, Kraken Security Labs może zaoferować mu współpracę w celu publicznego ujawnienia luki oraz podania kilku skutecznych rozwiązań.

Jeśli jednak Kraken Security uzna za stosowne natychmiastowe poinformowanie opinii publicznej o luce w zabezpieczeniach ze względu na stopień ryzyka lub bezpieczeństwo użytkownika końcowego produktu lub usługi, jednocześnie poinformuje o swoich ustaleniach zarówno dostawcę, jak i opinię publiczną. W skierowanym do dostawcy komunikacie firma Kraken Security Labs wymieni czynniki, na podstawie których podjęta została decyzja o natychmiastowej publikacji ustaleń.