Bug-uri

Raportați o vulnerabilitate de securitate sau de confidențialitate

Politica de recompense pentru bug-uri a TaxDome se aplică vulnerabilităților de securitate găsite în mediul online public al TaxDome.

Scop

Scopul politicii este de a stabili regulile de examinare, evaluare, aplicare și verificare a actualizărilor de sistem pentru a reduce vulnerabilitățile IT și riscurile asociate acestora. Dacă credeți că ați descoperit o vulnerabilitate de securitate sau de confidențialitate în produsul TaxDome, vă rugăm să ne raportați acest lucru.

Dezactivarea cookie-urilor

Puteți împiedica instalarea modulelor cookie prin ajustarea setărilor din browserul dumneavoastră (consultați Ajutorul browserului dumneavoastră pentru a afla cum să faceți acest lucru). Rețineți că dezactivarea modulelor cookie va afecta funcționalitatea acestui site și a multor altor site-uri web pe care le vizitați. Dezactivarea modulelor cookie va duce, de obicei, la dezactivarea anumitor funcționalități și caracteristici ale site-urilor. Prin urmare, vă recomandăm să nu dezactivați cookie-urile.

Eligibilitatea recompensei

Oricărui specialist în domeniul securității i se cere să nu întreprindă nicio acțiune distructivă care ar putea duce la:

  • pierderea de date a altor utilizatori
  • Refuzul furnizării de servicii pentru alți utilizatori
  • Adăugarea la orice listă de blocare

În cazul în care suspectați că există o vulnerabilitate de acest tip, vă rugăm să contactați echipa de dezvoltare TaxDome la help@taxdome.com.

Niveluri de severitate

Clasificăm vulnerabilitățile în funcție de impactul lor potențial asupra sistemelor noastre. Acest lucru ne ajută să prioritizăm măsurile de remediere și să determinăm recompensele corespunzătoare. Nivelurile de severitate sunt:

  • SEV-1 (severitate scăzută): nu există nicio modalitate de exploatare a vulnerabilității în prezent, dar are puncte slabe potențiale care ar putea fi exploatate în viitor. 
  • SEV-2 (severitate medie): vulnerabilitatea permite unui atacator să aibă un impact minor sau limitat asupra funcționării sistemului. Acest lucru ar putea implica accesul limitat la date sau ocolirea unor restricții minore.
  • SEV-3 (severitate ridicată): vulnerabilitatea afectează în mod semnificativ funcționarea întregului sistem sau permite unui atacator să eludeze restricțiile asupra unui set limitat de date.
  • SEV-4 (severitate critică): vulnerabilitatea are un impact semnificativ asupra întregului sistem sau permite accesul ușor la o cantitate semnificativă de date de către un atacator.
  • SEV-5 (severitate extremă): vulnerabilitatea oferă unui atacator acces complet și nedetectabil la sistem. 

Exemple de vulnerabilități după gravitate

Iată câteva exemple de vulnerabilități clasificate în funcție de nivelul de gravitate: 

  • SEV-1 (severitate scăzută): Injectare HTML/cod malware/injectare URL; redirecționare activă
  • SEV-2 (gravitate medie): Posibilitate de atac DOS (denial of service); angajatul fără drepturile necesare poate avea acces la chestionar și la șablonul chestionarului
  • SEV-3 (severitate ridicată): un atacator poate fura clienții unui utilizator și poate asocia clienții cu contactele sale prin IDOR (Insecure Direct Object References)
  • SEV-4 (severitate critică): un atacator poate obține acces neautorizat pentru a șterge facturile tuturor utilizatorilor prin IDOR 
  • SEV-5 (severitate extremă): un atacator poate injecta cod arbitrar care îi permite să preia complet controlul asupra contului unui utilizator, să-i fure datele și să efectueze acțiuni nedetectate în numele acestuia

Protejarea clienților noștri împotriva phishing-ului

TaxDome se angajează să își protejeze clienții de atacurile de tip phishing. E-mailurile de phishing sunt încercări frauduloase de a păcăli destinatarii să dezvăluie informații sensibile, precum nume de utilizator, parole sau date financiare. Uneori, aceste e-mailuri par a proveni din surse legitime, cum ar fi proprietarul unei firme care utilizează TaxDome.

La ce să fiți atenți

E-mailurile de phishing pot fi foarte convingătoare, dar există câteva semnale de alarmă la care trebuie să fiți atenți:

  • Adresa de e-mail poate fi similară cu cea a unui expeditor legitim, dar poate avea mici variații (de exemplu, un caracter în plus sau un nume de domeniu diferit)
  • E-mailul ar putea să vi se adreseze în mod generic în loc de numele dvs.
  • E-mailul ar putea crea un sentiment de urgență sau de presiune pentru a acționa rapid
  • E-mailurile de phishing conțin adesea greșeli gramaticale sau de scriere

Dacă primiți un e-mail suspect care pretinde a fi de la proprietarul firmei dvs. sau de la TaxDome, vă rugăm să nu faceți click pe niciun link sau atașament.

Raportarea tentativelor de phishing

Deși apreciem vigilența dumneavoastră, vă rugăm să rețineți că rapoartele privind tentativele de phishing nu sunt eligibile pentru programul nostru de recompensare. Programul nostru se concentrează pe identificarea vulnerabilităților din cadrul platformei TaxDome în sine.

Regulile programului

Vă rugăm să rețineți că plătim doar pentru rapoartele originale. În cazul în care se înregistrează un duplicat, vă vom informa atunci când este depus primul raport.

Rapoarte neeligibile:

  •  Tot ceea ce nu se află sub controlul nostru (servicii terțe, inclusiv, dar fără a se limita la Site.pro, featureOS, Intercom, Beamer, Customer.io)
  • Tot ceea ce necesită acces fizic la dispozitiv sau la rețea
  • Tot ceea ce necesită versiuni învechite de software sau hardware
  • Inginerie socială, phishing etc.
  • Recomandări și cele mai bune practici, atâta timp cât nu există un exploit specific

TaxDome nu este obligat să ofere o explicație detaliată în cazul în care raportul de securitate nu este eligibil.

Cum să raportați vulnerabilitățile de securitate sau de confidențialitate?

  1. Dacă credeți că ați descoperit o vulnerabilitate de securitate sau de confidențialitate care afectează programul, serviciile sau serverele web TaxDome, vă rugăm să ne raportați acest lucru.
  2. Primim cu plăcere rapoarte de la oricine, inclusiv de la specialiști în domeniul securității, dezvoltatori și clienți.
  3. Pentru a raporta o vulnerabilitate de securitate sau de confidențialitate, trimiteți un e-mail la help@taxdome.com și includeți în mesajul dvs. videoclipuri relevante, înregistrări de incidente și rapoarte de diagnosticare a sistemului.
  4. Veți primi un răspuns de la TaxDome pentru a confirma că am primit raportul dumneavoastră. Vă vom contacta dacă avem nevoie de informații suplimentare în termen de 10 zile lucrătoare.

Ultima actualizare July 22, 2024