Håndtering af sikkerhedsfejl

I Punktum dk har vi hele tiden fokus på at passe godt på vores data, systemer og services. Ingen systemer er dog 100 procent sikre, så hvis du finder en sårbarhed, vil vi gerne høre om det, så vi kan styrke systemet hurtigst muligt. Det kaldes også responsible disclosure.

Hvad skal du gøre?

  • Du kan kontakte os på disclosure@punktum.dk.
  • Krypter gerne din e-mail med vores PGP-nøgle, så informationerne ikke falder i de forkerte hænder. Nøglen findes også på offentlige keyservers med key ID: 0x912A10F5DE4BE592 og fingerprint FF1E2651DCC48D195A5ED29E912A10F5DE4BE592
  • Beskriv problemet i så mange detaljer som muligt: Tidspunkter, IP-adresser, URL m.v. Tag eventuelt screenshots for at illustrere, hvordan problemet kan opstå og udnyttes. Vi vil gerne kunne genskabe problemet for lettere at kunne udbedre det.
  • Lad os vide, hvordan vi kan komme i kontakt med dig, hvis vi har behov for yderlige information.

Hvad forventer vi?

  • Du fortæller ingen andre om problemet, indtil vi har udbedret det.
  • Du sletter eventuelle informationer, du måtte have fundet og lagret.
  • Du går ikke længere end nødvendigt for at påvise, at fejlen kan misbruges.
  • Du udnytter ikke sårbarheden i systemet ved eksempelvis at slette eller ændre data eller ved at downloade mere information end nødvendigt
  • Du bruger ikke angreb mod fysisk sikkerhed, social engineering, distribueret denial-of-service (DDoS), spam eller andre skadelige metoder mod vores systemer eller mod systemer hos en tredjepart.

Hvad kan du forvente af os?

  • Vi vil besvare din henvendelse indenfor én arbejdsdag, så du ved, at vi har modtaget din e-mail.
  • Vi vil undersøge din anmeldelse og inden for fem arbejdsdage sende dig en e-mail om, hvad vi har fundet samt en dato for, hvornår vi forventer at kunne løse problemet.
  • Vi vil løse problemet så hurtigt som muligt og altid indenfor 3 måneder.
  • Vi vil løbende holde dig opdateret.
  • Vi vil sammen med dig aftale, hvordan og hvornår vi offentliggør problemet. Vi nævner kun dit navn, hvis du ønsker det.