Policy för ansvarsfull sårbarhetsrapportering

Vi tar säkerhet på största allvar och uppskattar gemenskapens hjälp med att förbättra skyddet av våra system.

Vårt åtagande

Säkerheten i våra system och skyddet av våra kunders data är högsta prioritet. Vi uppmuntrar säkerhetsforskare att på ett ansvarsfullt sätt rapportera eventuella sårbarheter de upptäcker.

Omfattning

Denna policy omfattar vår webbplats, våra applikationer, onlinetjänster och publikt tillgängliga API:er.

Vad vi ber dig göra

Om du upptäcker en sårbarhet ber vi dig att:

• Kontakta oss omedelbart via kontaktuppgifterna i vår security.txt-fil
• Inte offentliggöra sårbarheten innan vi har haft möjlighet att åtgärda den
• Inte utnyttja sårbarheten mer än vad som krävs för att påvisa den
• Inte få åtkomst till, ändra eller radera andra användares data
• Inte störa våra tjänster eller vår infrastruktur

Vårt åtagande gentemot dig

• Vi bekräftar mottagandet av din rapport inom 3 arbetsdagar
• Vi håller dig informerad om hur åtgärdsarbetet fortskrider
• Vi vidtar inga rättsliga åtgärder mot forskare som agerar i god tro och följer denna policy
• Vi krediterar dig (om du önskar) i samband med kommunikationen kring åtgärden

Sårbarheter utanför omfattningen

Följande omfattas inte av denna policy:

• Överbelastningsattacker (DoS/DDoS)
• Social engineering eller phishing riktat mot våra medarbetare
• Fysiska attacker mot våra lokaler eller vår utrustning
• Sårbarheter i tredjepartstjänster som vi använder

Kontakt

Kontaktuppgifter för att rapportera en sårbarhet finns i vår security.txt-fil.

Vänligen ange så mycket information som möjligt: beskrivning av sårbarheten, steg för att reproducera den, potentiell påverkan samt förslag på åtgärd.