Openbaarmakingsbeleid voor kwetsbaarheden van Pleo Technologies A/S
Inleiding
Pleo Technologies A/S staat open voor feedback van beveiligingsonderzoekers en het brede publiek om onze beveiliging te versterken. Als je denkt dat je een kwetsbaarheid, privacyprobleem of andere beveiligingskwestie in onze activa hebt gevonden, horen we dat graag van je. Dit beleid beschrijft de stappen voor het rapporteren van deze kwetsbaarheden, alsook wat wij van jou verwachten en wat jij van ons mag verwachten.
Systemen binnen de reikwijdte
Dit beleid is van toepassing op alle digitale activa die eigendom zijn van, beheerd worden door of onderhouden worden door Pleo Technologies A/S. Een redelijke openbaarmakingstermijn geldt voor de volgende apps:
- openapi.pleo.io
De Pleo Accounting-API is georganiseerd rond REST; - auth.pleo.io
De Pleo Authentication-service; - app.pleo.io
Pleo biedt slimme zakelijke betaalkaarten die uitgavenrapporten automatiseren en bedrijfsuitgaven vereenvoudigen; - api.pleo.io
De Pleo-API is een generieke API voor de meeste Pleo-microservices; - *.*.pleo.io
Wildcard Pleo-subdomeinen;
Buiten de reikwijdte
Activa of andere apparatuur die niet eigendom zijn van partijen die deelnemen aan dit beleid.*
*Kwetsbaarheden die ontdekt of vermoed worden in systemen die buiten het bereik vallen, moeten gemeld worden aan de juiste leverancier of bevoegde autoriteit.
Onze verplichtingen
Wanneer je volgens dit beleid met ons samenwerkt, kun je van ons verwachten dat we:
- Snel reageren op je rapport en met je samenwerken om je rapport te begrijpen en te valideren;
- Je op de hoogte houden van de voortgang van een kwetsbaarheid tijdens de verwerking;
- Ontdekte kwetsbaarheden binnen onze operationele mogelijkheden tijdig aanpakken; en
- De Safe Harbor-bescherming verlengen voor je kwetsbaarheidsonderzoek dat verband houdt met dit beleid.
Onze verwachtingen
Door in goed vertrouwen deel te nemen aan ons programma voor het melden van kwetsbaarheden, vragen we je:
- De regels na te leven, inclusief het volgen van dit beleid en andere relevante overeenkomsten. Als er enige inconsistentie is tussen dit beleid en andere toepasselijke voorwaarden, prevaleren de voorwaarden van dit beleid;
- Elke kwetsbaarheid die je ontdekt zo snel mogelijk te rapporteren;
- Het schenden van de privacy van anderen, het verstoren van onze systemen, het vernietigen van gegevens en/of het schaden van de gebruikerservaring te vermijden;
- Alleen de officiële kanalen te gebruiken om kwetsbaarheidsinformatie met ons te bespreken;
- Ons een redelijke termijn (minimaal 90 dagen vanaf het eerste rapport) te geven om het probleem op te lossen voordat je het openbaar maakt;
- Alleen testen uit te voeren op systemen die binnen de reikwijdte vallen, en systemen en activiteiten die buiten de reikwijdte vallen te respecteren;
- Als een kwetsbaarheid onbedoeld toegang geeft tot gegevens: Beperk de hoeveelheid gegevens die je bekijkt tot wat nodig is om een Proof of Concept te demonstreren; stop met testen en dien onmiddellijk een rapport in als je tijdens het testen gebruikersgegevens tegenkomt, zoals persoonlijke informatie (PII), gezondheidsinformatie (PHI), creditcardgegevens of vertrouwelijke informatie;
- Alleen interactie te hebben met testaccounts die je bezit of waarvoor je expliciete toestemming hebt van de rekeninghouder; en
- Geen afpersing te plegen.
Officiële kanalen
Meld beveiligingsproblemen via security-vd@pleo.io en verstrek alle relevante informatie. Hoe meer details je geeft, des te gemakkelijker het voor ons is om het probleem te beoordelen en op te lossen.
Safe Harbor
Bij het uitvoeren van kwetsbaarheidsonderzoek beschouwen we dit onderzoek volgens dit beleid als:
- Geautoriseerd met betrekking tot relevante anti-hackwetten, en we zullen geen juridische acties tegen je ondernemen of ondersteunen voor onopzettelijke schendingen van dit beleid die te goeder trouw zijn;
- Geautoriseerd met betrekking tot relevante wetten tegen omzeiling, en we zullen geen vordering tegen je indienen voor het omzeilen van technologische controlemaatregelen;
- Vrijgesteld van beperkingen in onze Servicevoorwaarden (TOS) en/of Acceptabel Gebruiksbeleid (AUP) die het uitvoeren van beveiligingsonderzoek kunnen hinderen, waarbij we deze beperkingen in beperkte mate opheffen; en
- Wettelijk, behulpzaam voor de algehele veiligheid van het internet en uitgevoerd te goeder trouw.
Van jou wordt verwacht dat je alle toepasselijke wetten naleeft. Als een derde partij juridische stappen tegen je onderneemt en jij hebt gehandeld in naleving van dit beleid, zullen wij stappen ondernemen om aan te tonen dat jouw acties in overeenstemming waren met dit beleid.
Als je op enig moment twijfels hebt of niet zeker weet of je beveiligingsonderzoek in lijn is met dit beleid, dien dan een rapport in via een van onze officiële kanalen.
Let op: de Safe Harbor is uitsluitend van toepassing op juridische claims onder controle van de organisatie die aan dit beleid deelneemt. Het beleid is niet bindend voor onafhankelijke derden.