Politika sigurnosti i prijave ranjivosti

Sigurnosno smo savjetodavna tvrtka — vlastite kanale za prijavu ranjivosti držimo otvorenima i odgovaramo u jasno definiranim rokovima.

Opseg #

Ovaj pravilnik primjenjuje se na sljedeću imovinu pod našom kontrolom:

  • ctrlaltgrow.hr i sve poddomene koje smo objavili
  • Pripadajuće API endpointe (npr. /api/contact)
  • Cloudflare Pages Functions i konfiguracija koja se vidi u javnoj odgovornoj implementaciji (HTTP zaglavlja, CSP, security.txt)
  • Naš javni PGP ključ i potpisani security.txt

Klijentske infrastrukture i poslovni sustavi nisu u opsegu ovog pravilnika osim ako je u ugovoru o testiranju izričito drugačije dogovoreno. Vidi i odjeljak Izvan opsega.

Kako prijaviti #

Pošaljite e-mail na security@ctrlaltgrow.hr. Obična e-pošta je u redu za većinu prijava.

Za osjetljive nalaze (radni exploit, kompromitirani podaci, kredencijali) molimo da poruku enkriptirate našim PGP ključem:

Ako je e-mail zbog bilo kojeg razloga nedostupan, kontakt forma na naslovnici je sigurna alternativa — kratko opišite nalaz i zatražite kanal za detalje.

Što uključiti u prijavu #

  • Kratak opis ranjivosti i potencijalnog utjecaja
  • Točan URL ili komponenta na koju se odnosi
  • Koraci za reprodukciju (proof-of-concept, screenshot, request/response trace ako je primjenjivo)
  • Vaša procjena ozbiljnosti (CVSS v3.1 ako koristite — vidi SLA)
  • Kako biste željeli biti potpisani u Hall of Fame — i želite li uopće

Molimo nemojte uključivati pravi PII, prave kredencijale niti podatke trećih strana — koristite test podatke koje ste sami generirali.

Safe harbor #

Ako vaše istraživanje slijedi ovaj pravilnik u dobroj vjeri, smatrat ćemo da je istraživanje autorizirano. U mjeri u kojoj kazneni progon ovisi o privatnom zahtjevu oštećenika, Ctrl Alt Grow se obvezuje da neće:

  • podnijeti kaznenu prijavu niti zahtjev za progonom prema čl. 266–269 Kaznenog zakona (neovlašteni pristup računalnom sustavu, ometanje rada sustava, oštećenje računalnih podataka, neovlašteno presretanje) za radnje obuhvaćene ovim pravilnikom u njihovim osnovnim oblicima
  • pokrenuti građanske tužbe za naknadu štete protiv istraživača koji djeluju u dobroj vjeri i unutar opsega ove politike
  • kontaktirati vašeg poslodavca ili klijente s ciljem odmazde

Ova zaštita primjenjuje se samo na imovinu u opsegu (vidi odjeljak 1) i na radnje koje izbjegavaju namjernu štetu, eksfiltraciju podataka trećih strana ili javnu objavu prije našeg odgovora.

Osobni podaci. Ako tijekom testiranja naiđete na osobne podatke, morate odmah prekinuti testiranje na tom endpointu, ne smijete kopirati, pohranjivati niti dalje obrađivati te podatke, te o nalazu morate obavijestiti Ctrl Alt Grow unutar 24 sata. Pristup PII-u koji prelazi minimum potreban za demonstraciju ranjivosti izlazi izvan safe-harbor zaštite.

Pravna napomena: kvalificirani oblici navedenih kaznenih djela progone se po službenoj dužnosti državnog odvjetništva — to ne možemo unilateralno isključiti. Za osnovne oblike koji se progone na privatni zahtjev oštećenika naše odricanje je puno-obvezujuće. U slučaju upita državnih tijela bezuvjetno ćemo potvrditi autorizirani status istraživanja koje slijedi ovaj pravilnik. Tekst je prilagođen iz disclose.io obrasca pod CC0 licencijom.

Odnos s drugim politikama. Ova politika regulira odgovorno otkrivanje sigurnosnih ranjivosti i ne dira u Politiku privatnosti. Za obradu osobnih podataka istraživača koji podnose prijavu vrijedi naša Politika privatnosti.

Rokovi odgovora #

Mjereno u radnim danima (PON–PET, isključujući državne praznike Republike Hrvatske):

  • 3 RD — potvrda primitka prijave od osobe, ne autoresponder
  • 10 RD — početna trijaža s procjenom ozbiljnosti i očekivanim rokom popravka
  • 30 RD — popravak, mitigacija ili obrazloženi WONTFIX

Klasifikacija ozbiljnosti slijedi CVSS v3.1 (Critical 9.0–10.0, High 7.0–8.9, Medium 4.0–6.9, Low 0.1–3.9). Critical nalazi prelaze SLA i tretiraju se s prioritetom istog dana.

Objava i zasluge #

Pratimo praksu koordinirane objave (Coordinated Vulnerability Disclosure): detalji nalaza ne objavljuju se javno dok ne dostavimo popravak ili dok ne dogovorimo zajednički datum objave.

Embargo je uvjet safe-harbor zaštite. Standardni embargo iznosi 90 dana od inicijalne prijave; safe-harbor zaštita iz odjeljka Safe harbor primjenjuje se isključivo ako istraživač poštuje to razdoblje. Dulji embargo za složene popravke moguć je uz pisanu suglasnost.

Fallback ako ne odgovorimo. Ako Ctrl Alt Grow ne dostavi initial triage u 10 radnih dana od potvrde primitka (vidi Rokovi odgovora), istraživač može jednostranom pisanom obavijesti skratiti embargo na 30 dana — i u tom slučaju zadržava safe-harbor zaštitu.

Ako želite javno priznanje, navedite kako biste se željeli potpisati. Objavljujemo zasluge u Hall of Fame nakon što popravak završi. Anonimne prijave su jednako dobrodošle.

Izvan opsega #

Sljedeće nije obuhvaćeno ovim pravilnikom (prijave su dobrodošle, ali ne primjenjuje se safe harbor):

  • DDoS, stress testing ili bilo koji oblik testiranja koji utječe na dostupnost servisa za druge korisnike
  • Social engineering bilo kojeg zaposlenika, klijenta ili partnera, phishing, fizički pristup
  • Spam ili automatizirano slanje upita kroz /api/contact
  • Testiranje third-party servisa koje koristimo (Cloudflare, Google Workspace, GitHub) — obratite se direktno njihovim VDP programima
  • Best-practice prijave bez demonstriranog utjecaja (npr. „nemate SPF DMARC reject‟ kad imamo quarantine)
  • Kompromitacija klijentskih sustava — javite se nama, mi koordiniramo s klijentom

Standardi #

Ovaj pravilnik usklađen je s:

  • ISO/IEC 29147:2018 — Vulnerability disclosure
  • ISO/IEC 30111:2019 — Vulnerability handling processes
  • CERT/CC Guide to Coordinated Vulnerability Disclosure
  • RFC 9116 — A File Format to Aid in Security Vulnerability Disclosure (security.txt)

Metapodaci #

Povratak na naslovnicu