My, MailerLite, podchodzimy do bezpieczeństwa naszych klientów z najwyższą powagą. Z tego powodu przeprowadzamy rygorystyczne testy i dążymy do tego, aby tworzyć bezpieczny i czysty kod. Jednakże mimo starannego i wnikliwego testowania oraz gruntownej kontroli jakości w naszych produktach mogą się zdarzać błędy.
W związku z tym zachęcamy użytkowników, aby w odpowiedzialny sposób ujawniali wszelkie błędy i inne problemy. Zgłaszając nam problemy użytkownik wyraża zgodę na warunki niniejszego Programu odpowiedzialnego ujawniania.
1.1. Użytkownikowi nie wolno przeprowadzać żadnych ataków, w tym ataków rozproszonej odmowy usługi (DDoS), które mogłyby naruszyć niezawodność lub integralność naszych usług lub danych.
1.2. Użytkownik ma obowiązek przestrzegać prawa i postępować zgodnie z nim.
1.3. Użytkownikowi nie wolno podejmować prób uzyskania dostępu do konta lub danych innego użytkownika.
1.4. Jeśli użytkownik wszedł w interakcję z danymi lub danymi osobowymi lub jeśli uzyskał do nich dostęp, musi niezwłocznie zaprzestać testowania i zatrzymać wszelkie działania, które są związane z danymi lub danymi osobowymi.
1.5. Zgłaszany błąd musi być oryginalny i nie może być to błąd, który został już wcześniej zgłoszony.
1.6. Użytkownik nie może się kontaktować z zespołem w celu uzyskania aktualnych informacji na temat zgłoszonego błędu. Jeśli zespół zdecyduje, że zgłoszony błąd jest istotny sam odpowie użytkownikowi. Nie odpowiadamy na zgłoszenia, które nie zostaną uznane za spełniające kryteria istotności.
1.7. Użytkownik ma prawo do uzyskiwania dostępu do problemów, ich ujawniania i zgłaszania wyłącznie w stosunku do problemów, które użytkownik przetestował na swoim koncie (swoich kontach).
1.8. Użytkownik może ujawnić problem publicznie wyłącznie po jego rozwiązaniu.
1.9. MailerLite zastrzega sobie prawo, według własnego uznania, do zdecydowania o tym, że zgłoszenie jest nieważne, niezależnie od przyczyny nieważności (np. zgłoszony błąd jest nam już znany, problem nie jest uznawany za poważny itp.).
1.10. Użytkownik nie może się kontaktować z działem wsparcia MailerLite w kwestiach odpowiedzialnego ujawniania. Taki kontakt spowoduje, że użytkownik przestanie kwalifikować się do otrzymania nagrody za znalezienie błędu, jeśli taka nagroda jest przewidziana.
1.11. Wszyscy uczestnicy Programu odpowiedzialnego ujawniania ponoszą odpowiedzialność po swojej stronie za wszelkie zobowiązania podatkowe związane z wypłatą nagród.
2.1. Podatności, które nie powodują zmian stanu (np. clickjacking, który nic nie robi).
2.2. Funkcje zgłaszane jako podatności.
2.3. Spoofing e-maili ze względu na rekordy DMARC lub SPF.
2.4. Błędy wymagające interakcji użytkownika, która jest mało prawdopodobna. Np. kryterium istotności nie spełni wada umożliwiająca atak cross-site scripting, w której ofiara musi ręcznie wpisać złośliwy kod XSS do aplikacji, a następnie dwukrotnie kliknąć komunikat o błędzie.
2.5. Podatności, które mają wpływ na użytkowników przestarzałych przeglądarek.
2.6. Atak metodą brute force na konto.
2.7. Ostrzeżenia o zawartości mieszanej (mixed content).
2.8. Informacje o błędzie, których nie można użyć do bezpośredniego ataku.
2.9. Niezweryfikowane zgłoszenia z automatycznych narzędzi lub skanerów.
2.10. Literówki.
2.11. Zgłoszenia o sile hasła.
3,1. Użytkownik powinien zamieścić możliwie najwięcej informacji napisanych w prostym i zrozumiałym języku angielskim. Zgłoszenie powinno zawierać następujące elementy, przy czym ta lista nie jest zamknięta:
3.1.1. Wszystkie kroki i działania wymagane do powtórnego wykorzystania podatności.
3.1.2. Logi i zrzuty ekranu.
3.1.3. Demonstracja błędu w postaci wideo.
3.1.4. Adresy IP używane podczas testowania.
3.1.5. Wszelkie inne dowody potwierdzające znalezienie błędu.
3.2. Wszystkie powyższe elementy należy zgłaszać na adres security@mailerlite.com wraz z danymi kontaktowymi użytkownika.
4.1. Każde zgłoszenie błędu kwalifikujące się do nagrody będzie oceniane indywidualnie, na podstawie szczegółów technicznych zamieszczonych w zgłoszeniu.
4.2. Aby otrzymać nagrodę, muszą być spełnione wszystkie wymienione poniżej kryteria:
4.2.1. Zgłaszany błąd jest poważny.
4.2.2. Użytkownik nie może naruszać obowiązujących przepisów prawa krajowego, stanowego, lokalnego ani żadnego innego.
4.2.3. Przed rozpoczęciem uczestnictwa w programie nagród za znalezienie błędów użytkownik musi mieć ukończone co najmniej 15 lat lub dysponować zgodą podpisaną przez rodziców lub opiekunów prawnych.
4.2.4. Użytkownik nie uzyskiwał i nie będzie uzyskiwał dostępu do żadnych danych osobowych innych niż swoje własne. Dotyczy to również danych, do uzyskiwania dostępu do których użytkownik nie ma uzasadnionej podstawy prawnej.
4.2.5. W ciągu 12 (dwunastu) miesięcy przed wysłaniem zgłoszenia użytkownik nie był lub nie pozostaje pracownikiem (lub dostawcą usługi działającym w ramach umowy o outsourcingu) firmy MailerLite lub jej spółki zależnej lub powiązanej.
4.3. Decyzją zgłaszającego lub zespołu MailerLite, nagroda może też zostać przekazana organizacjom non-profit, schroniskom dla zwierząt itp. Płatności są przyznawane wyłącznie według uznania dostawcy usługi.
4.4. Nagrody mogą być wypłacane przez PayPal lub przelewem bankowym. Jeśli użytkownik chce dostać nagrodę przelewem bankowym przed transakcją musi dostarczyć fakturę. Nie obsługujemy innych form płatności (takich jak kryptowaluty, gotówka itp.).
5.1. Należy pamiętać, że jeśli użytkownik nie będzie postępował zgodnie z warunkami Programu odpowiedzialnego ujawniania, możemy wobec użytkownika wszcząć sprawę sądową lub dochodzenie w sprawie wyegzekwowania prawa.
5.2. Zastrzegamy sobie prawo do zmiany niniejszych warunków w dowolnym momencie. Jeśli zdecydujemy się na zmianę niniejszego dokumentu, zmiany zamieścimy na tej stronie. Wszystkie zmiany wchodzą w życie w momencie opublikowania.
5.3. Przepisy niniejszego Programu odpowiedzialnego ujawniania zaczynają obowiązywać w chwili, gdy użytkownik zgłosi nam błąd lub problem.