Policy for ansvarlig offentliggjøring

Vi tar sikkerhet på alvor og setter pris på hjelpen fra fellesskapet for å styrke beskyttelsen av systemene våre.

Vårt engasjement

Sikkerheten til systemene våre og beskyttelsen av kundenes data er absolutte prioriteringer. Vi oppfordrer sikkerhetsforskere til å varsle oss på en ansvarlig måte om eventuelle sårbarheter de måtte oppdage.

Omfang

Denne policyen gjelder for nettstedet vårt, applikasjonene våre, nettbaserte tjenester og offentlig tilgjengelige API-er.

Hva vi ber deg om

Hvis du oppdager en sårbarhet, ber vi deg om å:

• Kontakte oss umiddelbart via kontaktinformasjonen som er oppgitt i vår security.txt-fil
• Ikke offentliggjøre sårbarheten før vi har hatt tid til å rette den
• Ikke utnytte sårbarheten utover det som er nødvendig for å demonstrere den
• Ikke få tilgang til, endre eller slette andre brukeres data
• Ikke forstyrre tjenestene våre eller infrastrukturen vår

Vårt engasjement overfor deg

• Vi bekrefter mottak av rapporten din innen 3 virkedager
• Vi holder deg informert om fremdriften i utbedringen
• Vi vil ikke iverksette rettslige tiltak mot forskere som handler i god tro og følger denne policyen
• Vi vil kreditere deg (hvis du ønsker det) i kommunikasjonen rundt utbedringen

Sårbarheter utenfor omfang

Følgende er ikke dekket av denne policyen:

• Tjenestenektangrep (DoS/DDoS)
• Sosial manipulering eller phishing rettet mot våre ansatte
• Fysiske angrep mot lokalene eller utstyret vårt
• Sårbarheter i tredjepartstjenester vi benytter

Kontakt

Kontaktinformasjon for å rapportere en sårbarhet er tilgjengelig i vår security.txt-fil.

Vennligst oppgi så mange detaljer som mulig: beskrivelse av sårbarheten, trinn for å reprodusere den, potensiell påvirkning og forslag til utbedring.