Fib.Code
Bezpieczeństwo naszych systemów i danych naszych klientów jest dla nas priorytetem. Doceniamy wkład badaczy bezpieczeństwa, którzy pomagają nam identyfikować i naprawiać podatności.
Niniejsza polityka określa zasady odpowiedzialnego zgłaszania podatności w systemach FIB.CODE Sp. z o.o. Zachęcamy do współpracy zgodnie z poniższymi wytycznymi — gwarantujemy rzetelną analizę każdego zgłoszenia.
Zgłoś podatność
security@fibcode.com
24h
Czas pierwszej odpowiedzi
PGP
Szyfrowanie dostępne
Poniżej przedstawiamy systemy i usługi objęte programem odpowiedzialnego ujawniania oraz te, które są wyłączone z zakresu testów.
Aplikacje webowe w domenie *.fibcode.com
API i endpointy usług produkcyjnych
Konfiguracja serwerów i infrastruktury
Podatności uwierzytelniania i autoryzacji
Wycieki danych i niewłaściwa kontrola dostępu
Podatności kryptograficzne i zarządzanie kluczami
Ataki socjotechniczne i phishing na pracowników
Ataki typu Denial of Service (DoS/DDoS)
Podatności w oprogramowaniu firm trzecich
Brute force i enumeracja kont użytkowników
Skanowanie bez próby eksploitacji (jedynie wyniki skanerów)
Systemy klientów hostowane na naszej infrastrukturze
Prosimy o przestrzeganie poniższych zasad podczas testowania i zgłaszania podatności. Współpraca w dobrej wierze jest kluczowa dla bezpieczeństwa wszystkich stron.
Testuj wyłącznie w zakresie niezbędnym do potwierdzenia podatności. Nie modyfikuj, nie usuwaj i nie uzyskuj dostępu do danych, które nie są Twoje.
Nie kopiuj, nie przechowuj i nie udostępniaj danych osobowych ani poufnych informacji uzyskanych w trakcie testów.
Nie przeprowadzaj testów, które mogłyby zakłócić działanie systemów produkcyjnych, dostępność usług lub doświadczenie użytkowników.
Nie ujawniaj publicznie szczegółów podatności przed jej naprawą i uzyskaniem naszej zgody na publikację.
Prowadź badania wyłącznie w celu poprawy bezpieczeństwa. Nie wykorzystuj znalezionych podatności do celów osobistych ani komercyjnych.
Po odkryciu podatności zgłoś ją jak najszybciej, aby umożliwić nam podjęcie działań naprawczych w najkrótszym możliwym czasie.
Przejrzysty, pięcioetapowy proces gwarantuje profesjonalną obsługę każdego zgłoszenia — od przyjęcia po publiczne uznanie.
Wyślij raport na adres security@fibcode.com. Dołącz szczegółowy opis podatności, kroki reprodukcji i potencjalny wpływ. Możesz użyć szyfrowania PGP.
Nasz zespół potwierdzi otrzymanie zgłoszenia w ciągu 24 godzin. Przeprowadzimy analizę i ocenimy krytyczność podatności według CVSS v3.1.
Zespół deweloperski opracuje i wdroży poprawkę zgodnie z SLA zależnym od poziomu krytyczności. Na bieżąco informujemy o postępach.
Po wdrożeniu poprawki publikujemy wewnętrzny advisory z opisem podatności, wektora ataku i zastosowanych środków zaradczych.
Po zamknięciu sprawy oferujemy publiczne uznanie wkładu badacza — zgodnie z jego preferencjami i naszym programem uznaniowym.
Nasze zobowiązania czasowe są zdefiniowane według poziomu krytyczności podatności, klasyfikowanej według standardu CVSS v3.1.
CVSS 9.0 – 10.0
Pierwsza odpowiedź
4 godziny
Naprawa
7 dni
Advisory
Natychmiastowy
CVSS 7.0 – 8.9
Pierwsza odpowiedź
24 godziny
Naprawa
30 dni
Advisory
Po naprawie
CVSS 4.0 – 6.9
Pierwsza odpowiedź
48 godzin
Naprawa
60 dni
Advisory
Kwartalny
CVSS 0.1 – 3.9
Pierwsza odpowiedź
5 dni roboczych
Naprawa
90 dni
Advisory
Kwartalny
Czasy reakcji są mierzone od momentu otrzymania kompletnego zgłoszenia. W uzasadnionych przypadkach terminy mogą ulec wydłużeniu po konsultacji z badaczem.
Gwarantujemy ochronę prawną badaczom bezpieczeństwa, którzy współpracują z nami w dobrej wierze i zgodnie z niniejszą polityką.
FIB.CODE Sp. z o.o. zobowiązuje się nie podejmować działań prawnych wobec badaczy bezpieczeństwa, którzy zgłaszają podatności zgodnie z niniejszą polityką odpowiedzialnego ujawniania.
Uznajemy badania bezpieczeństwa prowadzone w ramach tej polityki za autoryzowane działania. Nie będziemy traktować takich badań jako nieautoryzowanego dostępu do systemów komputerowych w rozumieniu obowiązujących przepisów prawa.
W przypadku gdy działania badacza zostaną zakwestionowane przez stronę trzecią, poinformujemy, że badania były prowadzone w ramach naszego programu odpowiedzialnego ujawniania i za naszą zgodą.
Działanie w dobrej wierze
Przestrzeganie zasad programu
Brak naruszenia danych
Doceniamy wkład badaczy bezpieczeństwa w poprawę bezpieczeństwa naszych systemów. Oferujemy kilka form uznania.
Za zgodą badacza publikujemy podziękowanie na naszej stronie internetowej z opisem wkładu w bezpieczeństwo naszych systemów.
Wystawiamy oficjalny certyfikat potwierdzający odpowiedzialne ujawnienie podatności i współpracę z naszym zespołem bezpieczeństwa.
Na życzenie wystawiamy profesjonalną rekomendację na LinkedIn potwierdzającą kompetencje i etyczne podejście badacza.
Wyróżniającym się badaczom proponujemy stałą współpracę w ramach naszego programu bezpieczeństwa lub projektów konsultingowych.
Masz informację o podatności w naszych systemach? Skontaktuj się z nami. Każde zgłoszenie jest traktowane z najwyższym priorytetem.
Preferujemy komunikację szyfrowaną. Klucz PGP naszego zespołu bezpieczeństwa jest dostępny na żądanie lub na naszej stronie w pliku security.txt.
Szczegółowy opis podatności i jej typu
Kroki reprodukcji (krok po kroku)
Potencjalny wpływ i scenariusze ataku
Dotknięte systemy, URL-e lub endpointy
Screenshoty, logi lub dowody koncepcji (PoC)
Proponowane środki zaradcze (jeśli możliwe)
Polityka odpowiedzialnego ujawniania — ostatnia aktualizacja: Luty 2025
Niniejsza polityka jest częścią Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) FIB.CODE Sp. z o.o. zgodnego z ISO 27001:2022.