Polityka ujawniania luk w zabezpieczeniach

TAP z otwartością podchodzi do odpowiedzialnego ujawniania luk w zabezpieczeniach. Niniejsza polityka opisuje obowiązujące w takich przypadkach zasady oraz sposób przesyłania do nas zgłoszeń. Prosimy jednak mieć na uwadze, że TAP może od czasu do czasu modyfikować tę politykę.

Każdy, kto zajmuje się badaniem bezpieczeństwa i chce przyczynić się do odkrycia luk w zabezpieczeniach naszych aplikacji, powinien przed podjęciem tego rodzaju działań zapoznać się z tym zbiorem zasad oraz ich przestrzegać.

Firma TAP nie oferuje rekompensat finansowych za zgłaszanie luk.
Firma TAP może zezwolić na użycie swojej nazwy jako podmiotu udzielającego referencji na warunkach określonych w zasadach publikacji.

Prosimy o nieujawnianie luki przed potwierdzeniem przez TAP jej rozwiązania.
Prosimy o uzyskanie naszej pisemnej zgody na jej ujawnienie.
Prosimy o pominięcie lub zredagowanie w informacji o ujawnieniu wszelkich poufnych danych.

Następujące domeny: www.flytap.com, booking.flytap.com, myb.flytap.com, store.flytap.com, bidmiles-and-go.flytap.com, www.tapcorporate.com, corporatebooking.flytap.com, www.tapairportugal.com, www.tapme.pt, www.tapcargo.com, www.cartaocreditomilesandgo.flytap.com, cartoesdecredito.flytap.com.
Aplikacja mobilna TAP Air Portugal (na system iOS i Android).

Wszelkie domeny niewymienione na podanej liście.
Wszelkie inne aplikacje, zarówno mobilne, internetowe, jak i inne, nieobjęte podanym zakresem.
Luki w zintegrowanych usługach należących do innych firm.

Skanowanie automatyczne.
Testy wydajności lub obciążenia oraz ataki zakłócające, w tym testy typu „odmowa usługi” (DoS lub DDoS).
Ataki na pracowników lub użytkowników TAP, obejmujące socjotechnikę, wymuszenia, spamowanie lub phishing.
Naruszenia bezpieczeństwa o charakterze fizycznym.
Wprowadzanie tzw. tylnych wejść lub jakiejkolwiek formy stałego dostępu.
Wprowadzanie zmian w systemach lub aplikacjach.
Modyfikowanie lub usuwanie danych w systemach lub aplikacjach.

Wyniki skanów automatycznych.
Najlepsze praktyki w zakresie bezpieczeństwa, takie jak nagłówki zabezpieczeń, flagi plików cookie.
Niebezpieczne wersje SSL/TLS lub szyfry.
Problemy z SPF, DKIM i DMARC.
Luki w zabezpieczeniach o minimalnym wpływie.
Luki już zgłoszone lub wykryte przez TAP.

Działanie w dobrej wierze i przestrzeganie obowiązującego prawa.
Nie naruszanie prywatności, integralności ani dostępności danych.
Nie pobieranie danych.
Niezwłoczne zgłaszanie wszelkich wykrytych luk wyłącznie firmie TAP.
Wykonywanie działań testowych tylko w zakresie niezbędnym do potwierdzenia luki. Zaprzestanie dalszych działań natychmiast po udokumentowaniu jej istnienia.
W razie braku pewności, czy działania testowe nie stanowią zagrożenia dla TAP, przerwanie testowania i skontaktowanie się z nami.
Podanie nam szczegółowych informacji wystarczających do odtworzenia luki.
Zapewnienie nam rozsądnego okresu na przeanalizowanie, odtworzenie i usunięcie luki.
Przesłanie nam raportu w języku angielskim lub portugalskim.

Należy wysłać do nas wiadomość e-mail, korzystając z następującego adresu e-mail: [email protected].
Zdecydowanie zalecamy zaszyfrowanie raportu za pomocą naszego klucza publicznego PGP [opublikowanego tutaj].

Przesłanie odpowiedzi w możliwie jak najkrótszym czasie i potwierdzenie otrzymania raportu.
Współpraca ze zgłaszającym w celu zrozumienia i potwierdzenia ustaleń, a także omówienia problemów.
Opracowanie środków mające na celu szybkie usunięcie wykrytych luk.
Powiadomienie osoby zgłaszającej, że luka została usunięta.

TAP wykorzysta otrzymane dane osobowe wyłącznie do skontaktowania się z osobą zgłaszającą w zakresie złożonego raportu.
Natomiast opierając się na zasadzie ścisłej potrzeby, możemy ujawnić te dane osobowe naszym partnerom. Zawsze jednak odbywa się to zgodnie z obowiązującymi przepisami w zakresie danych osobowych.
Dane osobowe osób zgłaszających przechowujemy nie dłużej niż 1 rok od zakończenia procedury.