Säkerhetsprinciper
Arbetssättet utgår från ett fåtal principer som tillämpas konsekvent snarare än från enstaka punktinsatser. Målet är att minska angreppsytan, begränsa konsekvenserna om något ändå inträffar och göra det möjligt att i efterhand förstå vad som hänt.
- Minsta möjliga rättighet - åtkomst ges utifrån behov och ses över återkommande.
- Kryptering av data i vila och under överföring som standard.
- Flerfaktorsautentisering för administrativ åtkomst där det är möjligt.
- Loggning och spårbarhet så att åtkomst och förändringar kan följas upp.
- Hemligheter och nycklar hanteras i avsedda valv, aldrig i kod eller versionshantering.
- Beroenden och miljöer hålls uppdaterade, och kända sårbarheter åtgärdas i takt med att de blir kända.
Principerna anpassas efter varje uppdrags risk och känslighet. Konkreta åtgärder för ett specifikt system beskrivs i uppdraget och, där personuppgifter behandlas, i tillhörande biträdesavtal.
Hur du rapporterar en sårbarhet
Har du hittat en möjlig säkerhetsbrist tar jag gärna emot den. Skicka en rapport till security@siax.io. Maskinläsbara kontaktuppgifter och eventuell PGP-nyckel publiceras enligt standarden i filen /.well-known/security.txt.
Beskriv gärna så konkret som möjligt vad du har observerat, vilken komponent eller adress det gäller och hur problemet kan återskapas steg för steg. En tydlig rapport gör det möjligt att bekräfta och åtgärda snabbare.
- Inkludera påverkan och förutsättningar, inte bara symptomet.
- Bifoga gärna loggutdrag eller skärmbilder som styrker fyndet.
- Undvik att inkludera tredje parts personuppgifter i rapporten.
I scope / utanför scope
För att hålla granskningen ansvarsfull gäller vissa avgränsningar. I scope ingår de tjänster och miljöer som jag själv driver och ansvarar för. Tester ska kunna utföras utan att påverka andras data eller tillgänglighet.
- I scope: säkerhetsbrister i webbplatsen och de tjänster jag själv driftar - exempelvis autentisering, åtkomstkontroll, injektion, felaktig hantering av känslig data och liknande tekniska brister.
- Utanför scope: tjänster som drivs av tredje part, överbelastningsangrepp (DoS/DDoS), volymbaserad eller automatiserad skanning som stör driften, social ingenjörskonst och fysiska angrepp.
- Utanför scope: rapporter som enbart speglar avsaknad av en viss rubrik eller bästa praxis utan påvisbar säkerhetspåverkan.
Är du osäker på om något ligger i scope är du välkommen att fråga innan du testar.
Förväntad svarstid och safe harbor
En inkommen rapport bekräftas så snart som möjligt, normalt inom ett fåtal arbetsdagar, och du får återkoppling om bedömning och fortsatt hantering. Allvarliga brister prioriteras. Exakta tider kan variera beroende på fyndets art och omfattning.
Säkerhetsforskning som utförs i god tro och i enlighet med riktlinjerna på den här sidan välkomnas. Jag kommer inte att vidta rättsliga åtgärder mot dig som rapporterar en sårbarhet ansvarsfullt, förutsatt att du undviker integritetsintrång, dataförstöring och avbrott i tjänsten, och att du ger rimlig tid för åtgärd innan något offentliggörs.
Hall of fame
Som tack för ansvarsfull rapportering kan ett erkännande komma att publiceras, med rapportörens samtycke. En sådan lista kan tillkomma här när det blir aktuellt.
Notera att det inte utgår någon ekonomisk ersättning eller bug bounty för rapporter. Erkännandet är just ett tack, inte en betalning.
Tystnadsplikt och samordnad publicering
Detaljer om en rapporterad sårbarhet behandlas konfidentiellt tills den är åtgärdad. Jag ber dig att inte offentliggöra fynd innan en rättning finns på plats, så att användare och kunder inte utsätts för onödig risk under tiden.
När bristen är åtgärdad samordnar vi gärna en publicering om du önskar berätta om fyndet, med en rimlig tidsram som båda parter är bekväma med. Ansvarsfull och samordnad publicering skyddar både dem som påverkas och det fortsatta förtroendet.