Content

Latvijas IT drošības ziņu centrmezgls. Informācijas iesniegšana. Avota konfidencialitāti garantējam.

Swedbank publicējusi vadlīnijas atbildīgai drošības ievainojamību atklāšanai

Kategorija: Incidenti

Swedbank

Pārņemot labāko pasaules praksi, Swedbank aicina klientus iesaistīties kopīgā drošības aizsardzībā – ja pamanāt kādu drošības ievainojamību, aicinām ziņot mums par to, lai mēs pēc iespējas ātrāk varētu veikt labojumus. Mums Swedbank ir svarīgi, lai klienti justos drošībā, sadarbojoties ar mums. Tādēļ izmantojam strukturētu pieeju drošībai, izstrādājot, attīstot un vadot mūsu sistēmas, un nepārtraukti strādājam, lai drošības un kvalitātes līmenis būtu augstākais iespējamais. Viens no šīs pieejas soļiem ir arī klientu iesaiste.

Kā paziņot?
Atsūtiet mums e-pasta vēstuli uz adresi: responsible-disclosure@swedbank.com.
Lūdzu, lietojiet mūsu publisko PGP atslēgu, kas aizsargā jūsu pārsūtīto informāciju.

Noteikti iekļaujiet šādu informāciju:
– detalizētu aprakstu par ievainojamību, norādot arī URL un ievainojamības veidu;
– vajadzīgo informāciju, lai mēs varētu atveidot problēmu;
– atbilstošos gadījumos arī jūsu atrastās ievainojamības ekrānuzņēmumu;
– kontaktinformāciju: vārdu, uzvārdu, e-pasta adresi, tālruņa numuru un jūsu publisko PGP atslēgu (ja ir).

Par ko varat ziņot?
– Jūs varat ziņot par jebkuriem drošības trūkumiem, ko pamanāt mūsu pakalpojumos. Drošības trūkumu piemēri: starpvietņu skriptošana, šifrējuma trūkumi vai drošības trūkumi loģikas kontrolēs.

Ko varat sagaidīt no Swedbank?
– Mēs apstiprināsim, ka esam saņēmuši jūsu aprakstu, un pastāvīgi ziņosim jums par jautājuma risināšanu, kā arī informēsim, kad problēma tiks izlabota.
Atlīdzības prasības par ievainojamības ziņojumu iesūtīšanu netiek pieņemtas.

Ko lūdzam no jums?
Gan mums, gan mūsu klientu drošībai ir svarīgi, lai jūs ievērotu labo praksi, tas ir:
– Jūs neizmantosiet ievainojamību, lai piekļūtu vai mēģinātu piekļūt informācijai, kas nepieder jums.
– Jūs neizmantosiet ievainojamību, lai izņemtu vai grozītu informāciju.
– Jūs neietekmēsiet mūsu pakalpojumu pieejamību, izmantojot DoS (pakalpojumatteices) uzbrukumus.
– Jūs dosiet mums iespēju izlabot paziņoto ievainojamību, pirms jūs to publiskojat.

Nav skaidrs, kāpēc ievainojamības atklājējam būtu jāseko Swedbank vadlīnijām. Nav ne solījuma par sankciju nevēršanu pret personu, kura ievainojamību atklājusi, ne kaut simboliska pateicība par Swedbank informēšanu.

Avoti:
Swedbank: https://www.swedbank.lv/pakalpojumi_privatpersonam/it_ievainojamibas_zinojumiem/
Swedbank: http://www.boot.lv/forums/index.php?showtopic=162982

Tagged:

2015-03-27  »  edgars

  1. huh
    4 April 2015 @ 22:01

    no free bugs, man

    https://blog.trailofbits.com/2009/03/22/no-more-free-bugs/

Re: Swedbank publicējusi vadlīnijas atbildīgai drošības ievainojamību atklāšanai







Tags you can use (optional):
<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>