Responsible Disclosure

Sikkerhet

Hvordan rapportere sikkerhetsproblemer til Meray Solutions AS

Rapporter en sårbarhet

Vi tar sikkerhet på alvor. Hvis du har oppdaget en sikkerhetssårbarhet i våre produkter eller tjenester, vil vi gjerne høre fra deg.

E-post: kontakt@meray.no (merk emnet med "sikkerhet:")

Hva vi ønsker rapportert

Vi er interessert i å høre om:

  • Sårbarheter som kan gi uautorisert tilgang til data
  • Autentiseringsproblemer eller omgåelse av tilgangskontroll
  • SQL-injection, XSS eller andre injeksjonsangrep
  • Lekkasje av sensitiv informasjon
  • Kryptografiske svakheter
  • Andre sikkerhetsproblemer som kan skade brukere

Produkter i omfang

  • Skatera - skatera.no, api.skatera.no
  • Skytterlogg - skytterlogg.no (når lansert)
  • Qwizo - qwizo.eu
  • Meray.no - Denne nettsiden

Hva vi ber om

Når du rapporterer, vennligst inkluder:

  • Beskrivelse av sårbarheten
  • Steg for å reprodusere problemet
  • Hvilken påvirkning sårbarheten kan ha
  • Eventuelle forslag til løsning
  • Din kontaktinformasjon (for oppfølging)

Vår respons

Når du rapporterer en sårbarhet, kan du forvente:

  • Bekreftelse: Vi bekrefter mottak innen 3 virkedager
  • Vurdering: Vi vurderer alvorlighetsgrad og prioriterer
  • Oppfølging: Vi holder deg informert om fremgang
  • Løsning: Vi fikser problemet så raskt som mulig
  • Kreditt: Med din tillatelse kan vi kreditere deg

Ansvarlig rapportering

Vi ber deg om å:

  • Ikke utnytte sårbarheten utover det som er nødvendig for å demonstrere den
  • Ikke tilgjengeliggjøre andres data
  • Ikke forstyrre tjenestene våre (DoS/DDoS)
  • Gi oss rimelig tid til å fikse problemet før offentliggjøring
  • Ikke bruke automatiserte skannere uten avtale

Utenfor omfang

Følgende er vanligvis ikke av interesse:

  • Spam eller sosial manipulasjon (social engineering)
  • Fysisk sikkerhet
  • Manglende rate-limiting (med mindre det gir reell sårbarhet)
  • Manglende sikkerhetshoder uten påviselig risiko
  • Utdaterte programvareversjoner uten kjent sårbarhet

Ingen juridiske konsekvenser

Vi vil ikke forfølge juridiske tiltak mot deg hvis du:

  • Handler i god tro
  • Følger retningslinjene ovenfor
  • Ikke forårsaker skade på systemer eller data
  • Ikke tilgjengeliggjør funnet før vi har fått fikset det

Sikkerhetstiltak vi bruker

For transparens, her er noen av sikkerhetstiltakene vi har implementert:

  • HTTPS/TLS på alle tjenester
  • Krypterte passord (bcrypt)
  • Tofaktorautentisering (TOTP, WebAuthn)
  • Rate limiting og brute-force beskyttelse
  • Sikkerhetshoder (CSP, HSTS, X-Frame-Options)
  • Regelmessige sikkerhetsgjennomganger
  • Logging og overvåking
  • Kryptering av sensitiv data i hvile

security.txt

Vi tilbyr også en standard security.txt-fil på våre domener:

  • https://skatera.no/.well-known/security.txt
  • https://qwizo.eu/.well-known/security.txt

Kontakt

For sikkerhetsspørsmål som ikke er sårbarhetsrapporter, kan du kontakte oss på kontakt@meray.no. Husk å merke emnefeltet med "sikkerhet:" for raskere behandling.

Takk for at du hjelper oss med å holde produktene våre sikre!