Spring videre til indhold
Hjem
Hjem

Pleo Technologies A/S' sårbarhedspolitik

Introduktion

Pleo Technologies A/S opfordrer sikkerhedsforskere og offentligheden til at komme med feedback, da det kan hjælpe os med at forbedre vores sikkerhed. Hvis du mener, at du har opdaget en sårbarhed, et privatlivsproblem, eksponerede data eller andre sikkerhedsproblemer i nogen af vores aktiver, vil vi gerne høre fra dig. Denne politik skitserer, hvordan du rapporterer sårbarheder til os, hvad vi forventer af dig, og hvad du kan forvente af os.

Omfattede systemer

Denne politik gælder for alle digitale aktiver, der ejes, drives eller vedligeholdes af Pleo Technologies A/S. Rimelig oplysningstid gælder for følgende apps:

  • openapi.pleo.io
    Pleo Accounting API er organiseret omkring REST
  • auth.pleo.io
    Pleos autentificeringsservice
  • app.pleo.io
    Pleo tilbyder intelligente firmakort, der automatiserer udgiftsrapporter og forenkler virksomhedsudgifter.
  • api.pleo.io
    Pleo API er en generisk API til de fleste af Pleos mikroservices.
  • *.pleo.io
    Herunder alle Pleos underdomæner.

Ikke omfattet

Aktiver eller andet udstyr, der ikke ejes af parter, der er omfattet af denne politik.*

*Sårbarheder, der opdages eller mistænkes i systemer uden for anvendelsesområdet, skal rapporteres til den relevante leverandør eller myndighed.

Vores forpligtelser

Når du arbejder med os, kan du i henhold til denne politik forvente, at vi:

  • Svarer hurtigt på din rapport og arbejder sammen med dig for at forstå og validere din rapport.
  • Stræber efter at holde dig informeret om udviklingen af en sårbarhed, mens den behandles.
  • Arbejder på at afhjælpe opdagede sårbarheder rettidigt, inden for vores operationelle begrænsninger.
  • Udvider Safe Harbor for din sårbarhedsforskning, der er relateret til denne politik.

Vores forventninger

Ved at deltage i vores program for sårbarhedsoffentliggørelse i god tro, beder vi dig:

  • Spille efter reglerne, herunder ved at følge denne politik og evt. andre relevante aftaler. Hvis der er uoverensstemmelse mellem denne politik og evt. andre gældende vilkår, vil betingelserne i denne politik have forrang.
  • Rapportere enhver sårbarhed, du har opdaget, hurtigt.
  • Undgå at krænke andres privatliv, forstyrre vores systemer, ødelægge data og/eller skade brugeroplevelsen.
  • Kun bruge de officielle kanaler til at diskutere sårbarhedsinformation med os.
  • Give os en rimelig mængde tid (mindst 90 dage fra den første rapport) til at løse problemet, inden du offentliggør det.
  • Kun udføre tests på omfattede systemer, og respektere systemer og aktiviteter, der ikke er omfattet.
  • Hvis en sårbarhed giver utilsigtet adgang til data: Begræns mængden af data, du tilgår, til det minimum, der kræves for effektivt at demonstrere en Proof of Concept, samt stop testning og indsend en rapport straks, hvis du støder på brugerdata under testningen, såsom personligt identificerbare oplysninger (PII), personlige sundhedsoplysninger (PHI), kreditkortdata eller proprietær information.
  • Kun interagere med testkonti, du ejer, eller med eksplicit tilladelse fra kontoejeren.
  • Undlade er at involvere dig i afpresning.

Officielle kanaler

Rapporter sikkerhedsproblemer via security-vd@pleo.io, og inkluder alle relevante oplysninger. Jo flere detaljer du giver, desto lettere bliver det for os at prioritere og løse problemet.

Safe Harbor

Når vi udfører sårbarhedsforskning, i henhold til denne politik, betragter vi forskningen udført under denne politik som:

  • Autoriseret i henhold til gældende anti-hackinglove, og vi vil ikke indlede eller støtte retssager mod dig for utilsigtet, godtroende overtrædelser af denne politik.
  • Autoriseret i henhold til relevante anti-omgåelseslove, og vi vil ikke anlægge sag mod dig for omgåelse af teknologikontroller.
  • Fritaget fra begrænsninger i vores servicevilkår (Terms of Service, TOS) og/eller politik for acceptabel brug (Acceptable Usage Policy, AUP), som ville forstyrre gennemførelsen af sikkerhedsforskning, og vi frafalder disse begrænsninger på en begrænset basis.
  • Lovlig, nyttig for internettets overordnede sikkerhed og udført i god tro.

Du forventes, som altid, at overholde alle gældende love. Hvis der indledes juridiske skridt af en tredjepart mod dig, og du har overholdt denne politik, vil vi bekendtgøre, at dine handlinger blev udført i overensstemmelse med denne politik.

Hvis du på noget tidspunkt bekymrer dig om eller er usikker på, om din sikkerhedsforskning er i overensstemmelse med denne politik, bedes du indsende en rapport gennem en af vores officielle kanaler, før du fortsætter.

Bemærk, at Safe Harbor kun gælder for juridiske krav under kontrol af den organisation, der er underlagt denne politik, og at politikken ikke binder uafhængige tredjeparter.