Testowanie bezpieczeństwa portalu K0NSULT jest dozwolone tylko za wyraźną autoryzacją,
w wyznaczonym zakresie i w środowisku sandbox. Brak zgody = naruszenie.
1. Zasady testowania
Testujesz tylko za wyraźną autoryzacją: Każdy test bezpieczeństwa wymaga wcześniejszej
zgody zespołu K0NSULT. Test bez autoryzacji stanowi naruszenie prawa i może pociągnąć za sobą konsekwencje prawne.
W wyznaczonym zakresie: Zakres testowania musi być jasno zdefiniowany. Nie rozszerzasz testów
poza ustalone granice i systemy.
W sandboxie: Testy bezpieczeństwa odbywają się w osobnym, izolowanym środowisku SIMULATION,
nigdy na systemy REAL ani dane użytkowników.
2. Zakazy
Brak ataków na produkcję
Atakowanie systemu produkcyjnego bez wyraźnej pisemnej zgody jest zakazane.
Brak eksfiltracji danych
Wydobywanie, pobieranie lub przechowywanie danych użytkowników lub systemowych jest zakazane.
Brak DoS
Ataki Denial of Service, przeciążające system lub zasoby, są zakazane.
Brak naruszania prywatności
Próby dostępu do kont, sesji lub danych osobowych innym niż określonych w zakresie są zakazane.
Brak utrzymywania dostępu
Nie zostawiasz backdoorów, ukrytych kont ani jakichkolwiek mechanizmów do przyszłego dostępu.
3. Sandbox SIMULATION
Oddzielna przestrzeń: Środowisko testowania (SIMULATION) jest całkowicie oddzielone
od systemu produkcyjnego (REAL). Baza danych, konfiguracja, dane użytkowników — wszystko jest fikcyjne i testowe.
Nigdy nie mieszają się.
4. Jak zgłosić podatność
Jeśli odkryjesz podatność bezpieczeństwa, postępuj zgodnie z tym procesem:
Znajdź podatność
Odkryjesz potencjalny problem bezpieczeństwa w systemie K0NSULT.
Udokumentuj dowód
Zbierz szczegółowy opis problemu: gdzie, jak się pojawia, jakie dane lub funkcje są zagrożone. Dołącz zrzuty ekranu lub logi jeśli to możliwe.
Zgłoś przez /Common-Source-of-Truth/report
Wyślij raport przez dedykowany formularz na portalu. Oznacz je jako datę odkrycia i poziom ufności.
Triage P0/P1/P2
Zespół K0NSULT oceni podatność i przypisze jej priorytet: P0 (krytyczne), P1 (wysoki), P2 (średni). Otrzymasz potwierdzenie odbioru.
Koordynowane ujawnienie
Po usunięciu podatności zespół uzgodni z Tobą datę publicznego ujawnienia. Żaden szczegół nie zostaje ujawniony publicznie, dopóki naprawa nie będzie wdrożona i potwierdzona.
5. Skutki braku znajomości obowiązków
Nieznajomość przepisów bezpieczeństwa, w tym NIS2, AI Act czy KSC (Kodeksu Spraw Cywilnych),
nie zwalnia z odpowiedzialności. K0NSULT działa w zgodzie z obowiązującymi przepisami.
Naruszenie zasad testowania może pociągnąć za sobą:
Zawiadomienie organów ścigania,
Postępowanie cywilne o odszkodowanie,
Publikację informacji o naruszeniu w rejestrze incydentów.
Zastrzeżenie. Materiał nie stanowi certyfikacji, nie pochodzi od jednostki notyfikowanej
ani nie jest opinią prawną (not a certification · not a notified body · not a legal conclusion).
Zasady i wytyczne podlegają aktualizacji bez uprzedzenia.