Responsible disclosure

Security policy HEA4

Если вы нашли уязвимость в HEA4, пожалуйста, сообщите нам приватно. Мы принимаем отчёты по публичному сайту, панели управления, API, аутентификации, разделению tenant-данных и обработке интеграционных секретов.

security@hea4.com security.txt

Как проверять безопасно

Не нарушать доступность сервиса и не проводить нагрузочные тесты без согласования.
Не пытаться получить, изменить или удалить данные других клиентов.
Не использовать найденную проблему для закрепления доступа или дальнейшего продвижения.
Сразу остановиться и написать нам, если тест случайно затронул чужие данные.

Что включить в отчёт

URL, endpoint или компонент, где воспроизводится проблема.
Пошаговое описание проверки и ожидаемое влияние.
Минимальный proof-of-concept без секретов, персональных данных и разрушительных действий.
Ваши контакты для уточнений и желаемый язык общения: русский или английский.

Ожидаемые сроки ответа

3 рабочих дняпервичное подтверждение

7 рабочих днейобновление статуса

30 днейцель для high severity