Polityka odpowiedzialnego ujawniania luk
Opublikowano: 2026-01-15 · Wygasa: 2027-01-15
Traktujemy bezpieczeństwo poważnie i doceniamy badaczy działających w dobrej wierze. Ta strona wyjaśnia, jak zgłaszać podatności i czego możesz od nas oczekiwać.
Jak zgłosić podatność
Wyślij raport na adres security@rakomi.com. Możesz opcjonalnie zaszyfrować wiadomość naszym kluczem PGP.
- Opisz podatność i jej potencjalny wpływ
- Dołącz kroki do reprodukcji — proof of concept jest mile widziany
- Podaj swoje imię/nick, jeśli chcesz być wymieniony publicznie
- Nie dołączaj prawdziwych danych użytkowników ani poświadczeń w raporcie
Preferujemy raporty w języku polskim lub angielskim.
SLA czasu odpowiedzi
| Krytyczność | Potwierdzenie | Cel naprawy |
|---|---|---|
| Krytyczna (RCE, obejście auth, wyciek danych) | 24 godziny | 7 dni |
| Wysoka (eskalacja uprawnień, SSRF) | 48 godzin | 30 dni |
| Średnia (XSS, CSRF, ujawnienie informacji) | 5 dni roboczych | 60 dni |
| Niska (odchylenia od dobrych praktyk) | 10 dni roboczych | 90 dni |
Ochrona badacza
Jeśli działasz zgodnie z tą polityką i w dobrej wierze, zobowiązujemy się:
- Nie podejmować działań cywilnych ani karnych przeciwko Tobie
- Nie przekazywać raportu organom ścigania
- Współpracować z Tobą w celu szybkiego zrozumienia i naprawienia problemu
- Wymienić Cię w publicznym ujawnieniu (jeśli tego chcesz)
Nie uzyskuj dostępu, nie modyfikuj ani nie usuwaj danych, które do Ciebie nie należą. Używaj wyłącznie kont testowych, które posiadasz. Działamy w UE — obowiązuje prawo polskie i unijne.
Poza zakresem
- Ataki odmowy usługi (DoS/DDoS)
- Socjotechnika lub phishing pracowników Rakomi
- Bezpieczeństwo fizyczne
- Raporty dotyczące serwisów firm trzecich z listy podprzetwarzających
- Wyniki automatycznych skanerów bez ręcznej weryfikacji
- Brakujące nagłówki bezpieczeństwa bez wykazanego wpływu
W zakresie
api.rakomi.com— API uwierzytelnianiadashboard.rakomi.com— panel zarządzaniarakomi.com— ta strona@rakomi/node— SDK Node.js (npm)
Metody uwierzytelniania dostępne na platformie obejmują logowanie hasłem, bezhasłowe linki magiczne, sfederowanych dostawców OAuth, jednorazowe kody czasowe (TOTP) do uwierzytelniania wieloskładnikowego oraz poświadczenia bezpieczeństwa odporne na phishing (passkey). Dla passkey przechowujemy wyłącznie publiczny identyfikator kryptograficzny oraz minimalne metadane urządzenia — bez materiału klucza prywatnego i bez surowych identyfikatorów urządzeń.
Podziękowania
Badacze, którzy odpowiedzialnie zgłosili nam podatności, zostaną wymienieni tutaj za ich zgodą.
Brak jeszcze — bądź pierwszy.