Zaloguj sięZałóż konto

Polityka bezpieczeństwa i odpowiedzialnego zgłaszania luk

Ta strona opisuje, jak zgłosić potencjalną lukę bezpieczeństwa w portalu finwire.pl. Dokument stanowi „Policy" wskazywaną w pliku /.well-known/security.txt zgodnie z RFC 9116.

§ 1. Zakres

Polityka obejmuje domenę finwire.pl wraz z subdomenami oraz powiązaną infrastrukturą publicznie dostępną przez internet. Nie obejmuje usług zewnętrznych dostawców (Mixpanel, Cloudflare itp.) ani zewnętrznych API, z których korzystamy. Luki w takich usługach zgłaszaj bezpośrednio do ich właścicieli.

§ 2. Kanał zgłoszeń

Zgłoszenia luk bezpieczeństwa przyjmujemy na adres [email protected] z tematem zawierającym „Security report" lub „Zgłoszenie luki". Prosimy o zaszyfrowanie wrażliwych informacji - jeżeli potrzebujesz klucza PGP, napisz pod ten sam adres i przekażemy go osobno.

§ 3. Co powinno znaleźć się w zgłoszeniu

  • Krótki opis luki i jej potencjalnego wpływu.
  • Kroki reprodukcji - najlepiej minimalny proof-of-concept.
  • Wersja przeglądarki, system operacyjny, data i godzina zgłoszenia.
  • Dane kontaktowe do ewentualnej komunikacji zwrotnej.
  • Informacja, czy zgłaszający chce być wymieniony w podziękowaniach po publicznym ujawnieniu.

§ 4. Zasady odpowiedzialnego zgłaszania

  • Prosimy nie udostępniać luki publicznie przed jej naprawą.
  • Prosimy nie modyfikować ani nie usuwać danych innych użytkowników.
  • Prosimy nie wykonywać testów DoS, spamowania mailingowego, inżynierii społecznej ani ataków fizycznych.
  • Testy obciążeniowe, skanery agresywne i automatyczne brute-force są niedopuszczalne.
  • Jeżeli odkryjesz dane osobowe innych użytkowników, zakończ test i zgłoś lukę bez ich kopiowania ani zachowywania.

§ 5. Czego nie obejmują zgłoszenia

  • Braki merytoryczne w artykułach - te zgłaszaj przez Politykę korekt.
  • Naruszenia praw autorskich - dedykowana procedura DMCA.
  • Nielegalne treści w komentarzach - formularz Zgłoś nielegalne treści.
  • Niskie ryzyko: brak nagłówków CSP na stronach statycznych, czytelne wersje bibliotek JS, informacyjne ujawnienia struktury URL itp.

§ 6. Czas odpowiedzi

Staramy się potwierdzić otrzymanie zgłoszenia w ciągu 3 dni roboczych. Realny czas naprawy zależy od wagi i złożoności luki - od kilkunastu godzin w krytycznych przypadkach do kilku tygodni dla problemów wymagających przeprojektowania komponentu. O postępach informujemy zgłaszającego na bieżąco.

§ 7. Podziękowania

finwire.pl nie prowadzi aktualnie programu bug bounty ani nie oferuje wynagrodzenia finansowego za zgłoszenia luk. Za odpowiedzialne zgłoszenie jesteśmy wdzięczni i - o ile zgłaszający wyrazi zgodę - zamieszczamy podziękowania w sekcji „Hall of Fame" tej strony.

Polityka może być aktualizowana. Data ostatniej aktualizacji: 15 kwietnia 2026 r. Plik security.txt: finwire.pl/.well-known/security.txt.