K0NSULT // Common-Source-of-Truth/dev-security
k0nsult.cloud / Common-Source-of-Truth / dev-security

Dev / Security — Responsible Disclosure

No test without authorization.

Testowanie bezpieczeństwa portalu K0NSULT jest dozwolone tylko za wyraźną autoryzacją, w wyznaczonym zakresie i w środowisku sandbox. Brak zgody = naruszenie.

1. Zasady testowania

Testujesz tylko za wyraźną autoryzacją: Każdy test bezpieczeństwa wymaga wcześniejszej zgody zespołu K0NSULT. Test bez autoryzacji stanowi naruszenie prawa i może pociągnąć za sobą konsekwencje prawne.
W wyznaczonym zakresie: Zakres testowania musi być jasno zdefiniowany. Nie rozszerzasz testów poza ustalone granice i systemy.
W sandboxie: Testy bezpieczeństwa odbywają się w osobnym, izolowanym środowisku SIMULATION, nigdy na systemy REAL ani dane użytkowników.

2. Zakazy

Brak ataków na produkcję

Atakowanie systemu produkcyjnego bez wyraźnej pisemnej zgody jest zakazane.

Brak eksfiltracji danych

Wydobywanie, pobieranie lub przechowywanie danych użytkowników lub systemowych jest zakazane.

Brak DoS

Ataki Denial of Service, przeciążające system lub zasoby, są zakazane.

Brak naruszania prywatności

Próby dostępu do kont, sesji lub danych osobowych innym niż określonych w zakresie są zakazane.

Brak utrzymywania dostępu

Nie zostawiasz backdoorów, ukrytych kont ani jakichkolwiek mechanizmów do przyszłego dostępu.

3. Sandbox SIMULATION

Oddzielna przestrzeń: Środowisko testowania (SIMULATION) jest całkowicie oddzielone od systemu produkcyjnego (REAL). Baza danych, konfiguracja, dane użytkowników — wszystko jest fikcyjne i testowe. Nigdy nie mieszają się.

4. Jak zgłosić podatność

Jeśli odkryjesz podatność bezpieczeństwa, postępuj zgodnie z tym procesem:

Znajdź podatność

Odkryjesz potencjalny problem bezpieczeństwa w systemie K0NSULT.

Udokumentuj dowód

Zbierz szczegółowy opis problemu: gdzie, jak się pojawia, jakie dane lub funkcje są zagrożone. Dołącz zrzuty ekranu lub logi jeśli to możliwe.

Zgłoś przez /Common-Source-of-Truth/report

Wyślij raport przez dedykowany formularz na portalu. Oznacz je jako datę odkrycia i poziom ufności.

Triage P0/P1/P2

Zespół K0NSULT oceni podatność i przypisze jej priorytet: P0 (krytyczne), P1 (wysoki), P2 (średni). Otrzymasz potwierdzenie odbioru.

Koordynowane ujawnienie

Po usunięciu podatności zespół uzgodni z Tobą datę publicznego ujawnienia. Żaden szczegół nie zostaje ujawniony publicznie, dopóki naprawa nie będzie wdrożona i potwierdzona.

5. Skutki braku znajomości obowiązków

Nieznajomość przepisów bezpieczeństwa, w tym NIS2, AI Act czy KSC (Kodeksu Spraw Cywilnych), nie zwalnia z odpowiedzialności. K0NSULT działa w zgodzie z obowiązującymi przepisami. Naruszenie zasad testowania może pociągnąć za sobą:

Aby poznać pełne wymagania regulacyjne, zobacz Regulatory Trigger Engine.

Zastrzeżenie. Materiał nie stanowi certyfikacji, nie pochodzi od jednostki notyfikowanej ani nie jest opinią prawną (not a certification · not a notified body · not a legal conclusion). Zasady i wytyczne podlegają aktualizacji bez uprzedzenia.