SharkNinja i jej podmioty stowarzyszone („SharkNinja”) zobowiązują się do ochrony poufności danych osobowych konsumentów i pracowników, dostępności swoich stron internetowych i systemów informatycznych oraz bezpieczeństwa naszych urządzeń podłączonych do Internetu. Wbudowujemy zabezpieczenia w nasze platformy i podłączone produkty oraz przestrzegamy obowiązujących wymogów bezpieczeństwa IoT. Niniejsza polityka ma na celu dostarczenie badaczom bezpieczeństwa jasnych wytycznych dotyczących prowadzenia działań związanych z wykrywaniem luk w zabezpieczeniach oraz przekazanie naszych preferencji dotyczących sposobu zgłaszania nam wykrytych luk w celu ich oceny. Zachęcamy do kontaktowania się z nami w celu zgłaszania luk w zabezpieczeniach naszych stron internetowych, systemów i produktów
Jeśli podczas swoich badań nad bezpieczeństwem podejmą Państwo działania w dobrej wierze, aby przestrzegać niniejszej polityki, uznamy Państwa badania za autoryzowane wyłącznie w zakresie, w jakim są one zgodne ze wszystkimi warunkami niniejszej polityki i mieszczą się w określonym poniżej zakresie, a także będziemy współpracować z Państwem, aby szybko zrozumieć i rozwiązać zgłoszone problemy. SharkNinja nie będzie zalecać ani podejmować działań prawnych związanych z Państwa badaniami, pod warunkiem że nie przekroczyli Państwo zakresu niniejszej polityki, nie działali w złej wierze ani nie naruszyli żadnego obowiązującego prawa
Należy pamiętać, że SharkNinja nie prowadzi programu bug bounty i nie oferuje nagrody ani wynagrodzenia w zamian za zgłaszanie potencjalnych problemów związanych z bezpieczeństwem lub luk w zabezpieczeniach.
Wytyczne
SharkNinja sugeruje następujące wytyczne dla badaczy, którzy mogą zgłaszać luki w zabezpieczeniach lub prowadzić uzasadnione badania. W ramach niniejszej polityki „badania” oznaczają działania, w ramach których:
- Powiadom nas jak najszybciej po wykryciu rzeczywistego lub potencjalnego problemu z bezpieczeństwem
- Dokładają wszelkich starań, aby uniknąć naruszenia prywatności, pogorszenia komfortu użytkowania, zakłócenia działania systemów produkcyjnych oraz zniszczenia lub manipulacji danymi
- Wykorzystują luki wyłącznie w zakresie niezbędnym do potwierdzenia istnienia luki
- Nie wykorzystują luki w celu naruszenia bezpieczeństwa lub wykradzenia danych, uzyskania stałego nieuprawnionego dostępu ani przejścia do innych systemów
- Zapewniasz nam rozsądny czas na rozwiązanie problemu przed jego publicznym ujawnieniem
Po stwierdzeniu istnienia luki w zabezpieczeniach lub napotkaniu jakichkolwiek danych wrażliwych (w tym danych osobowych, informacji finansowych, informacji zastrzeżonych lub tajemnic handlowych jakiejkolwiek strony) musisz przerwać test, niezwłocznie nas powiadomić i nie ujawniać tych danych nikomu innemu. Musisz trwale usunąć lub zniszczyć wszelkie takie wrażliwe dane, które posiadasz, tak szybko, jak to możliwe po powiadomieniu SharkNinja, a na żądanie potwierdzić takie zniszczenie. Zgadzasz się zachować w tajemnicy wszystkie szczegóły dotyczące wykrytej luki w zabezpieczeniach, dopóki SharkNinja nie potwierdzi, że luka została usunięta lub nie wyrazi na piśmie zgody na jej publiczne ujawnienie
Zgłaszanie luki w zabezpieczeniach
Prosimy o wysłanie wiadomości e-mail na adres [email protected] w celu zgłoszenia luki w zabezpieczeniach. Aby pomóc nam w klasyfikacji i ustaleniu priorytetów zgłoszeń, zalecamy, aby zgłoszenie zawierało:
- Kiedy wykryto lukę lub problem
- Opis systemu lub produktu, w którym wykryto lukę
- Opis kroków niezbędnych do odtworzenia luki
- Wszelkie sugestie lub pomysły dotyczące usunięcia luki
SharkNinja zobowiązuje się do potwierdzenia wszystkich zgłoszeń w ciągu 3 dni roboczych i docenia udział w tym programie.
W przypadku ujawnienia luk w zabezpieczeniach związanych z produktami podłączonymi do sieci (lub „IoT”), SharkNinja będzie regularnie informować o postępach, aż do usunięcia zgłoszonej luki.
Zakres
Zakres niniejszego programu obejmuje wszystkie strony internetowe SharkNinja będące własnością firmy lub na jej licencji; wszystkie systemy biznesowe połączone z Internetem; oraz produkty podłączone do Internetu i powiązane z nimi aplikacje mobilne. Program nie obejmuje:
- Kampanie socjotechniczne lub phishingowe skierowane do pracowników SharkNinja
- Ataki typu „odmowa usługi” (DoS) na strony internetowe lub aplikacje biznesowe SharkNinja
- Wszelkie inne nieautoryzowane działania podejmowane w złych zamiarach
W przypadku pytań dotyczących niniejszego programu lub w celu zgłoszenia luki w zabezpieczeniach prosimy o kontakt z firmą SharkNinja pod adresem [email protected]