Bezpečnostní politika

V Anycoders bereme bezpečnost našich systémů a klientských dat s nejvyšší vážností. Věříme, že spolupráce s bezpečnostní komunitou je klíčová pro rychlou identifikaci a nápravu případných zranitelností.

Tento dokument (Vulnerability Disclosure Policy) definuje pravidla pro každého, kdo by chtěl otestovat naše systémy a zodpovědně nám nahlásit bezpečnostní chybu. Pokud budete postupovat v souladu s těmito zásadami, budeme s vámi jednat partnersky a férově.

Náš slib (Safe Harbor)

Pokud budete při svém výzkumu dodržovat pravidla uvedená v tomto dokumentu, zavazujeme se, že:

  • Nebudeme proti vám podnikat žádné právní kroky za jednání v dobré víře.
  • Budeme s vámi komunikovat transparentně a v přiměřených lhůtách.

Pravidla spolupráce

Očekáváme, že se při svém testování budete řídit následujícími principy:

  • Neohrožujte naše systémy: Vyhněte se praktikám, které by mohly vést k narušení stability našich služeb (např. DDoS útoky), poškození dat nebo zhoršení uživatelského zážitku.
  • Respektujte soukromí: Nepokoušejte se získat přístup k osobním údajům našich klientů nebo zaměstnanců. Pokud na taková data náhodou narazíte, okamžitě nás informujte.
  • Jednejte v dobré víře: Využijte nalezenou zranitelnost pouze k tomu, abyste nám demonstrovali její existenci.
  • Dejte nám čas na nápravu: Po nahlášení zranitelnosti nám poskytněte přiměřený čas na její opravu, než ji případně zveřejníte.

Rozsah testování (Scope)

Tato pravidla se vztahují na všechny systémy a služby provozované pod doménou:

  • *.anycoders.cz

Mimo rozsah (Out of Scope)

Mimo rozsah jsou explicitně:

  • Jakékoliv útoky na fyzickou bezpečnost našich kanceláří.
  • Sociální inženýrství, phishing nebo spam cílený na naše zaměstnance.
  • Služby třetích stran, které využíváme (např. Google Workspace, Discord, Redmine).

Jak nahlásit zranitelnost

Pokud objevíte bezpečnostní chybu, pošlete nám prosím e-mail na adresu provoz@anycoders.cz. Abychom mohli vaši zprávu co nejrychleji a nejefektivněji zpracovat, uveďte prosím:

  • Popis zranitelnosti a její potenciální dopad.
  • Přesné místo, kde se chyba nachází (URL, aplikace, API endpoint).
  • Detailní kroky k reprodukci chyby.

Co se stane po nahlášení

  1. Do 3 pracovních dnů vám potvrdíme přijetí vaší zprávy.
  2. Provedeme analýzu a posoudíme závažnost nahlášené chyby.
  3. Budeme vás informovat o našich zjištěních a plánovaném termínu opravy.
  4. Po nasazení opravy vás budeme kontaktovat, abyste si mohli ověřit, že je chyba skutečně odstraněna.

Závěrečné slovo

Chceme transparentně uvést, že neprovozujeme placený bug bounty program a neposkytujeme finanční odměny za neobjednané reporty. Případná odměna bude vždy řešena individuálně a bude záviset na konkrétním případě a musí být rozhodnuta a schválena z naší strany, nelze se ji domáhat. Naším cílem je budovat bezpečné produkty a ceníme si konstruktivní pomoci od profesionálů, kteří jednají v dobré víře a v souladu s našimi zásadami.

Děkujeme za pochopení a spolupráci.

Contact hero

Máte jiný dotaz nebo zájem o spolupráci?

Kontaktujte nás