Sebezhetőség közzétételi szabályzat
Utolsó frissítés: 2025. november
1. Bevezetés
A Gridex AI (TeleCetli Kft. üzemeltetésében) elkötelezett az adatbiztonság megőrzése mellett az információk jogosulatlan nyilvánosságra hozatalának megelőzésével. Ezt a szabályzatot azért hoztuk létre, hogy útmutatást nyújtsunk a biztonsági kutatóknak a sebezhetőség-felfedezési tevékenységek lebonyolításához, és információt nyújtsunk a felfedezett sebezhetőségek jelentéséről. Ez a szabályzat megmagyarázza, hogy mely rendszerek és tevékenységtípusok tartoznak a hatálya alá, hogyan kell benyújtani a sebezhetőségi jelentéseket, és mennyi időt kérünk, hogy várjon a felfedezett sebezhetőségek nyilvános közzététele előtt.
2. Irányelvek
Kérjük, hogy:
- Értesítsen minket a lehető leghamarabb, miután valós vagy potenciális biztonsági problémát fedezett fel
- Adjon nekünk ésszerű időt a probléma megoldására, mielőtt nyilvánosan közzétenné (minimum 90 nap)
- Minden erőfeszítést tegyen meg az adatvédelmi jogsértések, a felhasználói élmény romlásának, a termelési rendszerek zavarásának és az adatok megsemmisítésének vagy manipulálásának elkerülése érdekében
- Csak a sebezhetőség jelenlétének megerősítéséhez szükséges mértékben használjon kihasználásokat. Ne használjon kihasználást adatok veszélyeztetésére vagy megszerzésére, parancssori hozzáférés és/vagy perzisztencia létrehozására, vagy a kihasználást más rendszerekre való "átpivotálásra"
- Miután megállapította, hogy létezik sebezhetőség, vagy bármilyen érzékeny adattal találkozik (beleértve a személyes adatokat, pénzügyi információkat vagy bármely fél védett információit vagy üzleti titkait), azonnal állítsa le a tesztet, értesítsen minket azonnal, és tartsa szigorúan bizalmasan az adatokat
- Ne küldjön nagy mennyiségű alacsony minőségű jelentést
3. Felhatalmazás
Az ezen szabályzatnak megfelelően végzett biztonsági kutatás megengedettnek minősül. Együtt fogunk dolgozni Önnel a probléma gyors megértése és javítása érdekében, és a Gridex AI nem javasol vagy folytat jogi lépéseket a jóhiszeműen és ezen szabályzatnak megfelelően végzett kutatásával kapcsolatban.
4. Hatály
Ez a szabályzat a következő rendszerekre és szolgáltatásokra vonatkozik:
4.1 Hatályon kívül
Bármely szolgáltatás, amely nincs kifejezetten felsorolva fent, például kapcsolódó szolgáltatások, hatályon kívül esik, és nem engedélyezett tesztelni. A Gridex AI által használt harmadik féltől származó megoldásokban (például Azure OpenAI, Keycloak, Cloudflare stb.) felfedezett sebezhetőségekre nem vonatkozik ez a szabályzat, és közvetlenül a megoldás gyártójának kell jelenteni azokat a közzétételi szabályzatuknak megfelelően.
Note: Mielőtt elkezdené a vizsgálatot, írjon nekünk a [email protected] címre, ha nem biztos abban, hogy egy rendszer vagy végpont hatályon belül van-e.
5. Tesztelési típusok
A következő teszttípusok **nem engedélyezettek**:
6. Sebezhetőség jelentése
Bármilyen biztonsági hiba jelentéséhez küldjön e-mailt a következő címre:
Tárgy: [SECURITY] Sebezhetőségi jelentés
A következő munkanapon visszaigazoljuk a sebezhetőségi jelentés kézhezvételét, és folyamatosan tájékoztatjuk a haladásról. A jelentések névtelenül is benyújthatók, bár a kapcsolattartási adatok megadása lehetővé teszi számunkra, hogy kommunikáljunk Önnel a problémáról.
7. Kívánatos információk
A sebezhetőségi jelentés hatékony feldolgozása és az arra való reagálás érdekében javasoljuk a következő információk megadását:
Ha lehetséges, kérjük, hogy angolul vagy magyarul adja meg a jelentését.
8. Kötelezettségvállalásunk
Ha úgy dönt, hogy megadja kapcsolattartási adatait, megígérjük, hogy átlátható és időben kommunikálunk Önnel:
9. Elismerés
Nagyra értékeljük a biztonsági kutatói közösség erőfeszítéseit a biztonságos platform fenntartásában. Bár jelenleg nem kínálunk bug bounty programot, szívesen elismerjük nyilvánosan azokat a kutatókat, akik felelősségteljesen jelentik a sebezhetőségeket (az Ön engedélyével).
10. Kapcsolattartási információk
Biztonsági kapcsolat: [email protected]
Biztonsági tisztviselő: Szilágyi Tamás
TeleCetli Kft.
7634 Pécs, Darázs dűlő 70., Magyarország
