Vastuullinen haavoittuvuuksien hallinta

Tämä sivu on tarkoitettu tietoturvatutkijoille ja muille tietoturva-ammattilaisille, jotka ovat löytäneet Elisan palveluista haavoittuvuuden ja halukkaita auttamaan meitä parantamaan palvelujemme turvallisuutta ilmoittamalla haavoittuvuudesta meille alla olevalla lomakkeella.

Elisan tavoitteena on pitää palvelut turvallisina kaikille. Asiakkaidemme tietojen turvallisuus on aina etusijalla. Jos olet löytänyt Elisan palveluista haavoittuvuuden, arvostamme apuasi, jos kerrot siitä meille. Tutkiessasi haavoittuvuuksia palveluissamme, odotamme sinun aina noudattavan soveltuvaa lainsäädäntöä.

Jos olet asiakkaamme ja sinulla on yleistä kysyttävää palvelujemme tietoturvasta tai niiden käytöstä, ota meihin yhteyttä täältä.

Olemme kiitollisia siitä, että käytät aikaasi ilmoittaaksesi havaitsemistasi haavoittuvuuksista. Teethän sen kuitenkin noudattamalla alla olevia ohjeita.

Ohjeet vastuulliselle haavoittuvuuksien hallinnalle

  • Sallimme aktiivisen testaamisen ainoastaan Bug Bounty -ohjelmassa määriteltyjen sääntöjen mukaisesti, sekä ohjelmassa määriteltyihin palveluihin.
  • Ilmoitathan havaitsemastasi haavoittuvuudesta tai epäillystä haavoittuvuudesta pikimmiten ja ilman aiheetonta viivytystä.
  • Vältä loukkaamasta ihmisten yksityisyyttä, häiritsemästä palveluitamme, tuhoamasta tai muuttamasta tietoja ja / tai vahingoittamasta asiakkaidemme käyttökokemusta.
  • Viesti haavoittuvuuksiin liittyvistä tiedoista ainoastaan käyttäen virallisia viestintäkanavia.
  • Arvostamme vastuuntuntoisuutta. Pidä havaittujen haavoittuvuuksien tiedot luottamuksellisina.
  • Jos haavoittuvuus mahdollistaa tahattoman pääsyn tietoihin: Rajoita hakemasi tiedon määrä minimiin, joka tarvitaan haavoittuvuuden todeksi osoittamiseen (Proof-of-Concept, PoC). Lopeta testaus, jos kohtaat arkaluontoisia tietoja.
  • Mikäli haavoittuvuuden osoittamiseen tarvitaan käyttäjätili, käytä vain omistamiasi tilejä.
  • Älä yritä suorittaa palvelunestohyökkäyksiä tai huijausyrityksiä (esim. tietojenkalastelu).

Palkitseminen

Maksamme palkkioita ainoastaan Bug Bounty -ohjelmaamme kuuluvien palveluiden löydöksistä, ohjelman sääntöjä noudattaen. Liity Elisan Bug Bounty ohjelmaan osoitteessa: https://hackerone.com/elisa

Miten raportoin?

Ole hyvä ja käytä alla olevaa lomaketta ottaaksesi meihin yhteyttä. Turvallisuusryhmämme analysoi ilmoitetun haavoittuvuuden. Pyydämme sinua antamaan myös sähköpostiosoitteesi, josta sinut tavoittaa, mikäli tarvitsemme lisätietoja.

Ilmoita haavoittuvuudesta

Tietoa henkilötietojen käsittelystä ja tietosuojasta Elisalla: https://elisa.fi/tietosuoja