.svg "Seamly"){kind=logo}
Verantwoordelijke openbaarmaking
Het veilig houden van gebruikersinformatie is een topprioriteit voor ons bij Seamly en we verwelkomen de bijdrage van externe beveiligingsonderzoekers.
Toepassingsgebied
Als u denkt dat u een beveiligingsprobleem hebt gevonden in een van de onderstaande websites, diensten of software die eigendom zijn van of worden beheerd door Seamly, moedigen wij u aan om ons hiervan op de hoogte te stellen.
De volgende gebieden worden beschouwd als toepassingsgebied:
- Alle diensten die draaien op *.seamly-app.com
- Onze JavaScript-pakketten op NPM
De volgende gebieden worden beschouwd als buiten bereik en zijn verboden:
- Social engineering (bijv. phishing, vishing, smishing)
- Spam (tenzij een specifieke kwetsbaarheid leidt tot het eenvoudig verzenden van spam)
- DDoS-aanvallen (Distributed Denial of Service)
Wat niet te melden
We accepteren geen triviale kwesties of kwetsbaarheden die niet kunnen worden uitgebuit. De responsible disclosure is bedoeld voor problemen die direct kunnen worden uitgebuit.
Voorbeelden van problemen die niet worden geaccepteerd:
- HTTP 404-codes, of alle niet-200-codes
- Fingerprinting op openbare diensten
- Openbare bestanden, of bestanden met onschadelijke informatie (bijv. robots.txt)
- Clickjacking-gerelateerde problemen
- Problemen met SPF, DKIM of DMARC
- Meldingen over oude softwareversies zonder een POC voor een werkend concept
- Problemen gerelateerd aan het gebruik van oude browserversies
Hoe een rapport in te dienen
Als u een kwetsbaarheidsrapport wilt indienen bij Seamly, neem dan contact met ons op via security@seamly.ai en zorg ervoor dat u uw bevindingen versleutelt met behulp van onze PGP-sleutel. Uw melding zal worden beoordeeld en gevalideerd door een lid van ons beveiligingsteam.
Veilige haven
Seamly ondersteunt de veilige haven voor beveiligingsonderzoekers die:
- Zich te goeder trouw inspannen om privacyschendingen, vernietiging van gegevens en onderbreking of verslechtering van onze diensten te voorkomen.
- Alleen werken met accounts waarvan u de eigenaar bent of met uitdrukkelijke toestemming van de accounthouder. Als u persoonlijk identificeerbare informatie (PII) tegenkomt, neem dan onmiddellijk contact met ons op, verschaf uzelf geen toegang en verwijder onmiddellijk alle lokale informatie.
- Geef ons een redelijke hoeveelheid tijd om kwetsbaarheden op te lossen voordat deze openbaar worden gemaakt aan het publiek of aan derden.
- We beschouwen activiteiten die in overeenstemming met dit beleid worden uitgevoerd als "geautoriseerd" gedrag en zullen geen civielrechtelijke stappen ondernemen of een klacht indienen bij de wetshandhavingsinstanties. We zullen zoveel mogelijk helpen als een derde partij gerechtelijke stappen tegen u onderneemt.
Dien een melding bij ons in voordat u zich inlaat met gedrag dat mogelijk niet in overeenstemming is met of niet wordt behandeld in dit beleid. We zullen u binnen drie werkdagen een reactie sturen.
Voorkeuren
- Zorg voor gedetailleerde rapporten met reproduceerbare stappen en een duidelijk gedefinieerde impact.
- Dien één kwetsbaarheid per rapport in.
- Versleutel uw bevindingen met onze PGP-sleutel om te voorkomen dat onbevoegde gebruikers toegang krijgen tot de informatie.