Přeskočit obsah

Zásady pro hlášení bezpečnostních zranitelností

Česky (Czech)

1. Účel

Tyto zásady stanovují pravidla pro odpovědné zjišťování a hlášení bezpečnostních zranitelností v informačních systémech a službách provozovaných společností ZOBEC Consulting.

Cílem je umožnit bezpečnostním výzkumníkům, odborné veřejnosti i partnerům upozornit na zranitelnosti legálním, koordinovaným a bezpečným způsobem tak, aby nedošlo k ohrožení systémů, dat ani uživatelů.

2. Rozsah (Scope)

Tyto zásady se vztahují na veškeré informační systémy, služby a technické prostředky, které jsou:

  • přímo nebo nepřímo vlastněny společností ZOBEC Consulting, nebo
  • užívány na základě smluvního vztahu, a to z pozice zákazníka, dodavatele nebo jiného oprávněného uživatele,

a které současně:

  • zpracovávají, ukládají nebo přenášejí data společnosti ZOBEC Consulting, nebo
  • zpracovávají, ukládají nebo přenášejí data zákazníků či dodavatelů společnosti ZOBEC Consulting.

Rozsah zahrnuje zejména:

  • veřejně i neveřejně dostupné webové aplikace a online služby,
  • API, cloudové služby a hostingová prostředí,
  • systémy provozované třetími stranami, pokud jsou využívány k poskytování služeb společnosti ZOBEC Consulting nebo ke zpracování jejích dat.

3. Povolené aktivity

Povoleny jsou zejména:

  • identifikace a ověření bezpečnostních zranitelností,
  • testování prováděné na vlastních účtech nebo testovacích datech,
  • omezené testování bez negativního dopadu na dostupnost služeb,
  • poskytnutí důkazu konceptu (PoC) v rozsahu nutném k pochopení zranitelnosti.

4. Zakázané aktivity

Zakázány jsou zejména:

  • útoky typu DoS/DDoS nebo jiné záměrné narušení dostupnosti služeb,
  • přístup k cizím datům, jejich kopírování, mazání nebo změna,
  • sociální inženýrství (phishing, vishing, impersonace),
  • automatizované masové skenování bez předchozího souhlasu,
  • zneužití zranitelnosti nad rámec prokázání její existence.

Dále je výslovně zakázáno:

  • jakkoli pokračovat v aktivitách v okamžiku, kdy dojde k úspěšnému získání přístupu k datům, systémům nebo aplikacím,
  • využívat jakékoli přihlašovací údaje, přístupové tokeny, klíče nebo jiné autentizační prostředky, které nebyly oznamovateli výslovně přiděleny společností ZOBEC Consulting.

5. Jak hlásit zranitelnost

Kontaktní údaje pro hlášení bezpečnostních zranitelností jsou uvedeny v souboru security.txt dostupném na adrese: https://www.zobec.cz/.well-known/security.txt

Oznámení by mělo obsahovat:

  • popis zranitelnosti,
  • kroky k její reprodukci,
  • očekávaný a skutečný výsledek,
  • případný důkaz konceptu (PoC),
  • odhad dopadu, je-li znám.

6. Zpracování hlášení a časový rámec

Každé hlášení je posuzováno individuálně podle jeho závažnosti, technické složitosti a případných závislostí na třetích stranách nebo dodavatelských řetězcích.

Oznamovatel bere na vědomí, že:

  • zpracování zranitelnosti může trvat obvykle 2-4 měsíce,
  • ve výjimečných případech může být doba řešení delší.

Společnost ZOBEC Consulting bude oznamovatele kontaktovat a průběžně jej informovat o stavu řešení nahlášené zranitelnosti. Pokud zvolený komunikační kanál nebude funkční nebo dostupný, je oznamovatel povinen využít jiný dostupný komunikační kanál uvedený v souboru security.txt.

7. Koordinované zveřejnění

Společnost ZOBEC Consulting žádá oznamovatele, aby zranitelnosti nezveřejňovali před jejich odstraněním nebo bez předchozí dohody.

Cílem je minimalizovat riziko zneužití zranitelností a ochrana dat společnosti, jejích zákazníků a dodavatelů.

8. Právní rámec (Safe Harbor)

Pokud oznamovatel jedná v dobré víře a v souladu s těmito zásadami, společnost ZOBEC Consulting:

  • nebude vůči oznamovateli podnikat právní kroky,
  • nebude požadovat náhradu škody vzniklé v důsledku odpovědného testování.

9. Poděkování

Se souhlasem oznamovatele může být jeho jméno uvedeno na stránce poděkování za odpovědné nahlášení bezpečnostní zranitelnosti.

10. Jazyk a rozhodné právo

Tyto zásady jsou vydány v českém jazyce a pouze česká jazyková verze je považována za závaznou.

Tyto zásady se řídí právním řádem České republiky. Veškeré právní vztahy vzniklé v souvislosti s těmito zásadami se posuzují podle práva České republiky.

English (Anglicky)

1. Purpose

This policy defines the rules for responsible identification and reporting of security vulnerabilities in information systems and services operated by ZOBEC Consulting.

The goal is to enable security researchers, professionals, and partners to report vulnerabilities in a lawful, coordinated, and safe manner, without endangering systems, data, or users.

2. Scope

This policy applies to all information systems, services, and technical assets that are:

  • directly or indirectly owned by ZOBEC Consulting, or
  • used under a contractual relationship, whether as a customer, supplier, or other authorized user,

and which simultaneously:

  • process, store, or transmit data belonging to ZOBEC Consulting, or
  • process, store, or transmit data of ZOBEC Consulting’s customers or suppliers.

The scope includes in particular:

  • publicly and non-publicly accessible web applications and online services,
  • APIs, cloud services, and hosting environments,
  • systems operated by third parties where they are used to deliver services for ZOBEC Consulting or to process its data.

3. Permitted Activities

Permitted activities include in particular:

  • identification and validation of security vulnerabilities,
  • testing performed on the reporter’s own accounts or test data,
  • limited testing without negative impact on service availability,
  • providing proof of concept (PoC) limited to what is necessary to demonstrate the issue.

4. Prohibited Activities

The following activities are prohibited:

  • DoS/DDoS attacks or any intentional disruption of service availability,
  • access to third-party data, including copying, modification, or deletion,
  • social engineering (phishing, vishing, impersonation),
  • automated mass scanning without prior authorization,
  • exploitation of a vulnerability beyond what is required to prove its existence.

It is further explicitly prohibited to:

  • continue any activity once successful access to data, systems, or applications has been obtained,
  • use any credentials, access tokens, keys, or other authentication mechanisms that were not explicitly assigned to the reporter by ZOBEC Consulting.

5. Reporting a Vulnerability

Contact details for reporting security vulnerabilities are provided in the security.txt file available at: https://www.zobec.cz/.well-known/security.txt

A report should include:

  • a description of the vulnerability,
  • steps to reproduce,
  • expected and actual behavior,
  • proof of concept (PoC), if available,
  • an impact assessment, if known.

6. Handling Reports and Timeframe

Each report is evaluated individually based on its severity, technical complexity, and potential dependencies on third parties or supply chains.

The reporter acknowledges that:

  • vulnerability remediation typically takes 2-4 months,
  • in exceptional cases, remediation may take longer.

ZOBEC Consulting will contact the reporter and provide ongoing updates regarding the status of the reported vulnerability. If the selected communication channel is not functional or available, the reporter is expected to use an alternative contact method listed in the security.txt file.

7. Coordinated Disclosure

ZOBEC Consulting requests that vulnerabilities are not publicly disclosed before remediation or without prior agreement.

The goal is to minimize the risk of exploitation and protect the data of the company, its customers, and suppliers.

If the reporter acts in good faith and in accordance with this policy, ZOBEC Consulting:

  • will not initiate legal action against the reporter,
  • will not seek compensation for damages resulting from responsible testing.

9. Acknowledgments

With the reporter’s consent, their name may be listed on an acknowledgment page for responsible disclosure.

10. Language and Governing Law

These terms are issued in the Czech language, and only the Czech language version shall be considered legally binding.

These terms shall be governed by and construed in accordance with the laws of the Czech Republic. Any legal relationships arising in connection with these terms shall be governed by Czech law.