Gå vidare
Hem
Hem

Pleo Technologies A/S policy för sårbarhetsrapportering

Inledning

Pleo Technologies A/S välkomnar feedback från säkerhetsforskare och allmänheten för att förbättra vår säkerhet. Om du tror att du har upptäckt en sårbarhet, integritetsproblem, exponerade data eller andra säkerhetsproblem hos oss vill vi höra från dig. Den här policyn beskriver stegen för att rapportera sårbarheter till oss, vad vi förväntar oss och vad du kan förvänta dig tillbaka.

System inom ramen

Denna policy gäller alla digitala tillgångar som ägs, drivs eller underhålls av Pleo Technologies A/S. En rimlig tid för avslöjande gäller för följande applikationer:

  • openapi.pleo.io
    Pleos bokförings-API är organiserat runt REST;
  • auth.pleo.io
    Pleos autentiseringstjänst;
  • app.pleo.io
    Pleo erbjuder smarta företagskort som automatiserar utgiftsrapportering och förenklar utläggshanteringen;
  • api.pleo.io
    Pleos API är ett generellt API för de flesta av Pleos mikrotjänster;
  • *.pleo.io
    Wildcard Pleo subdomäner;

Utanför ramen

Tillgångar eller annan utrustning som inte ägs av parter som deltar i denna policy.*

*Sårbarheter som upptäcks eller misstänks i system utanför tillämpningsområdet ska rapporteras till lämplig leverantör eller tillämplig myndighet.

Våra åtaganden

När du arbetar med oss enligt denna policy, kan du förvänta dig att vi:

  • Svarar på din rapport snabbt och arbetar tillsammans med dig för att förstå och validera din rapport;
  • Strävar efter att hålla dig informerad om framstegen för en sårbarhet under tiden som den hanteras;
  • Arbetar för att lösa upptäckta sårbarheter i tid, inom våra operativa begränsningar; och
  • Förläng Safe Harbor för din säkerhetsforskning som relaterar till denna policy.

Våra förväntningar

Genom att delta i vårt program för sårbarhetsrapportering i god tro, ber vi att du:

  • Följ reglerna, inklusive denna policy och andra relevanta avtal. Om det finns någon inkonsekvens mellan denna policy och andra tillämpliga villkor, kommer villkoren i denna policy att gälla;
  • Rapportera eventuella sårbarheter som du har upptäckt omgående;
  • Undvik att kränka andras integritet, störa våra system, förstöra data och/eller skada användarupplevelsen;
  • Använd bara de officiella kanalerna för att diskutera sårbarhetsinformation med oss;
  • Ge oss en rimlig tid (minst 90 dagar från den initiala rapporten) att lösa problemet innan du går ut med det offentligt;
  • Utför bara tester på system inom ramen för testningen, och respektera system och aktiviteter som ligger utanför ramen;
  • Om en sårbarhet ger oavsiktlig åtkomst till data: Håll mängden data du får åtkomst till, till det minimum som krävs för att effektivt demonstrera ett Proof of Concept; stoppa omedelbart testningen och skicka in en rapport om du stöter på någon användardata under testningen, såsom personligt identifierbar information (PII), personlig hälsoinformation (PHI), kreditkortsdata eller konfidentiell företagsinformation;
  • Du bör enbart interagera med testkonton som du äger eller har fått ett uttryckligt tillstånd från kontohavaren för; och
  • Ägna dig inte åt utpressning.

Officiella kanaler

Vänligen rapportera säkerhetsproblem via security-vd@pleo.io och ange all relevant information. Ju fler detaljer du ger, desto lättare blir det för oss att prioritera och åtgärda problemet.

Safe Harbor

Vid analys av sårbarhet enligt denna policy anser vi att forskningen som bedrivs under denna policy är:

  • Auktoriserad i enlighet med tillämpliga anti-hackinglagar, och vi kommer inte att inleda eller stödja rättsliga åtgärder mot dig för oavsiktliga, godtroende överträdelser av denna policy;
  • Auktoriserad i enlighet med tillämpliga lagar om kringgående, och vi kommer inte att framställa något krav mot dig för kringgående av tekniska skyddsåtgärder;
  • Undantagen från begränsningar i våra användarvillkor (TOS) och/eller vår policy för acceptabel användning (AUP) som skulle hindra genomförandet av säkerhetsforskning, och vi frånsäger oss dessa begränsningar på en begränsad basis; och
  • Laglig, främjande för Internets säkerhet och utförd i god tro.

Som alltid förväntas du följa alla tillämpliga lagar. Om rättsliga åtgärder inleds mot dig av en tredje part, och du har följt denna policy, kommer vi att vidta åtgärder för att göra det känt att dina handlingar utfördes i compliance med denna policy.

Om du har frågor eller är osäker på om din säkerhetsforskning överensstämmer med denna policy, vänligen skicka in en rapport via en av våra officiella kanaler innan du fortsätter.

Observera att Safe Harbor endast gäller rättsliga anspråk som ligger under kontroll av den organisation som deltar i denna policy, och att policyn inte är bindande för oberoende tredje part.