Ansvarsfullt informationsprogram
På Securitas ser vi säkerheten i våra system som högsta prioritet. Men oavsett hur mycket arbete vi lägger ner på systemsäkerhet kan det fortfarande finnas sårbarheter. Om du upptäcker en sårbarhet vill vi veta om den så att vi kan vidta åtgärder för att åtgärda den så snabbt som möjligt. Vi ber dig hjälpa oss att bättre skydda våra system. Vänligen rapportera dina fynd via vårt webbformulär nedan.
Omfattning
Följande kategorier omfattas av Securitas program för ansvarsfull upplysning:
- OWASP topp 10 sårbarheter
- Server-side Request Forgery (SSRF) — Måste inkludera bevis utöver grundläggande interaktion (t.ex. extern serversvar via Burp Collaborator eller motsvarande)
- Fjärrkodexekvering (RCE)
- Kontoövertagande (ATO)
- Autentiseringsombigående
- Informationsutlämnande
- Lagrad cross-site skriptning (Lagrad XSS)
Observera att ovanstående lista inte ska tolkas som uttömmande och Securitas förbehåller sig rätten att ändra listan när som helst och av vilken anledning som helst.
Utanför ansvarsområdet
Följande kategorier ligger uttryckligen utanför Securitas ansvarsfulla upplysningsprogram och är därför inte berättigade till belöningar:
- Clickjacking
- Öppna omdirigeringar
- Rapporter om offentligt kända (publicerade) CVE:er
- Hastighetsbegränsande tester som involverar färre än 101 förfrågningar
- Prisbegränsning på e-postprenumeration eller registreringsformulär
- UI-injektion
Ansvarsfulla upplysningsvillkor
Vi informerar dig vänligen om att genom att lämna in en rapport under vårt program för ansvarsfull upplysning samtycker du till att vara bunden av och skyldig att följa våra villkor för ansvarsfulla upplysningar. Vi uppmuntrar dig starkt att noggrant läsa dessa villkor innan du skickar in någon rapport, eftersom de innehåller viktig information om dina rättigheter (såsom din möjliga rätt till belöning) och skyldigheter. Klicka här för att läsa villkoren för ansvarsfull upplysning. Frågor om Responsible Disclosure Program kan skickas till responsible.disclosure@securitas.com.
Privatliv
När du skickar in en rapport till oss kommer vi att behandla de personuppgifter du lämnat in i din rapport samt eventuella ytterligare personuppgifter som samlats in under eller efter att ärendet lösts. Securitas Intelligent Services AB är kontrollant för dina personuppgifter, och personuppgifterna behandlas inom vårt legitima intresse av nätverks- och informationssäkerhet. Vi använder datan för att kontakta och kommunicera med dig under och efter lösningsprocessen, eventuellt betala ut en belöning och, om du godkänner detta, utse dig som den som upptäcker problemet i den offentliga informationen. Vi kommer att spara dina personuppgifter så länge det är nödvändigt vad gäller känslighet för rapporter, känslighet för personuppgifter och enligt lag (om vi betalar ut en belöning till dig har vi en juridisk skyldighet att behålla viss information). Du har rättigheter som datasubjekt. För att utöva dessa rättigheter eller ställa en fråga, vänligen kontakta privacy@securitas.com eller vår DPO på dpo@securitas.com. Du har också rätt att lämna in ett klagomål till en tillsynsmyndighet.
