Polityka skoordynowanego ujawniania podatności

KLNR Search (search.klnr.ai) · zgodnie z duchem NIS2 (art. 21) i ISO/IEC 29147.

Zgłaszanie

Jeśli znalazłeś podatność bezpieczeństwa, prosimy o kontakt: security@klnr.ai (PGP na życzenie). Zgłoszenie potraktujemy poufnie.

Czego oczekujemy

• Opis podatności, kroki reprodukcji i potencjalny wpływ.
• Działanie w dobrej wierze: bez naruszania prywatności użytkowników, niszczenia danych, zakłócania usługi ani eksfiltracji danych ponad minimum potrzebne do wykazania problemu.
• Czas na naprawę przed publicznym ujawnieniem.

Nasze zobowiązania

• Potwierdzenie zgłoszenia: do 72 godzin.
• Wstępna ocena i plan naprawy: do 7 dni roboczych.
• Brak działań prawnych wobec badaczy działających w dobrej wierze i zgodnie z tą polityką (safe harbor).

Zakres

W zakresie: search.klnr.ai i jej API (/api/v2/*). Poza zakresem: ataki DoS/wolumetryczne, socjotechnika, podatności wyłącznie w usługach stron trzecich.

Wersja maszynowo-czytelna: /.well-known/security.txt