Polityka ujawniania luk w zabezpieczeniach
TAP z otwartością podchodzi do odpowiedzialnego ujawniania luk w zabezpieczeniach. Niniejsza polityka opisuje obowiązujące w takich przypadkach zasady oraz sposób przesyłania do nas zgłoszeń. Prosimy jednak mieć na uwadze, że TAP może od czasu do czasu modyfikować tę politykę.
Każdy, kto zajmuje się badaniem bezpieczeństwa i chce przyczynić się do odkrycia luk w zabezpieczeniach naszych aplikacji, powinien przed podjęciem tego rodzaju działań zapoznać się z tym zbiorem zasad oraz ich przestrzegać.
- Firma TAP nie oferuje rekompensat finansowych za zgłaszanie luk.
- Firma TAP może zezwolić na użycie swojej nazwy jako podmiotu udzielającego referencji na warunkach określonych w zasadach publikacji.
- Prosimy o nieujawnianie luki przed potwierdzeniem przez TAP jej rozwiązania.
- Prosimy o uzyskanie naszej pisemnej zgody na jej ujawnienie.
- Prosimy o pominięcie lub zredagowanie w informacji o ujawnieniu wszelkich poufnych danych.
- Następujące domeny: www.flytap.com, booking.flytap.com, myb.flytap.com, store.flytap.com, bidmiles-and-go.flytap.com, www.tapcorporate.com, corporatebooking.flytap.com, www.tapairportugal.com, www.tapme.pt, www.tapcargo.com, www.cartaocreditomilesandgo.flytap.com, cartoesdecredito.flytap.com.
- Aplikacja mobilna TAP Air Portugal (na system iOS i Android).
- Wszelkie domeny niewymienione na podanej liście.
- Wszelkie inne aplikacje, zarówno mobilne, internetowe, jak i inne, nieobjęte podanym zakresem.
- Luki w zintegrowanych usługach należących do innych firm.
- Skanowanie automatyczne.
- Testy wydajności lub obciążenia oraz ataki zakłócające, w tym testy typu „odmowa usługi” (DoS lub DDoS).
- Ataki na pracowników lub użytkowników TAP, obejmujące socjotechnikę, wymuszenia, spamowanie lub phishing.
- Naruszenia bezpieczeństwa o charakterze fizycznym.
- Wprowadzanie tzw. tylnych wejść lub jakiejkolwiek formy stałego dostępu.
- Wprowadzanie zmian w systemach lub aplikacjach.
- Modyfikowanie lub usuwanie danych w systemach lub aplikacjach.
- Wyniki skanów automatycznych.
- Najlepsze praktyki w zakresie bezpieczeństwa, takie jak nagłówki zabezpieczeń, flagi plików cookie.
- Niebezpieczne wersje SSL/TLS lub szyfry.
- Problemy z SPF, DKIM i DMARC.
- Luki w zabezpieczeniach o minimalnym wpływie.
- Luki już zgłoszone lub wykryte przez TAP.
- Działanie w dobrej wierze i przestrzeganie obowiązującego prawa.
- Nie naruszanie prywatności, integralności ani dostępności danych.
- Nie pobieranie danych.
- Niezwłoczne zgłaszanie wszelkich wykrytych luk wyłącznie firmie TAP.
- Wykonywanie działań testowych tylko w zakresie niezbędnym do potwierdzenia luki. Zaprzestanie dalszych działań natychmiast po udokumentowaniu jej istnienia.
- W razie braku pewności, czy działania testowe nie stanowią zagrożenia dla TAP, przerwanie testowania i skontaktowanie się z nami.
- Podanie nam szczegółowych informacji wystarczających do odtworzenia luki.
- Zapewnienie nam rozsądnego okresu na przeanalizowanie, odtworzenie i usunięcie luki.
- Przesłanie nam raportu w języku angielskim lub portugalskim.
- Należy wysłać do nas wiadomość e-mail, korzystając z następującego adresu e-mail: [email protected].
- Zdecydowanie zalecamy zaszyfrowanie raportu za pomocą naszego klucza publicznego PGP [opublikowanego tutaj].
- Przesłanie odpowiedzi w możliwie jak najkrótszym czasie i potwierdzenie otrzymania raportu.
- Współpraca ze zgłaszającym w celu zrozumienia i potwierdzenia ustaleń, a także omówienia problemów.
- Opracowanie środków mające na celu szybkie usunięcie wykrytych luk.
- Powiadomienie osoby zgłaszającej, że luka została usunięta.
TAP wykorzysta otrzymane dane osobowe wyłącznie do skontaktowania się z osobą zgłaszającą w zakresie złożonego raportu.
Natomiast opierając się na zasadzie ścisłej potrzeby, możemy ujawnić te dane osobowe naszym partnerom. Zawsze jednak odbywa się to zgodnie z obowiązującymi przepisami w zakresie danych osobowych.
Dane osobowe osób zgłaszających przechowujemy nie dłużej niż 1 rok od zakończenia procedury.
Natomiast opierając się na zasadzie ścisłej potrzeby, możemy ujawnić te dane osobowe naszym partnerom. Zawsze jednak odbywa się to zgodnie z obowiązującymi przepisami w zakresie danych osobowych.
Dane osobowe osób zgłaszających przechowujemy nie dłużej niż 1 rok od zakończenia procedury.