Verantwoorde openbaarmaking
Laatst bijgewerkt december 2021
Bij Unbabel Inc. geloven we in het belang van de beveiliging van onze producten en diensten en we waarderen de inspanningen en de transparantie van de gemeenschap van veiligheidsonderzoekers om ons kwetsbaarheden te melden die ons mogelijk ontgaan zijn tijdens de veiligheidstests van de ontwikkelings- en testfasen. Mocht u een kwetsbaarheid vinden in een van onze systemen, dan horen wij dat het liefst zo snel mogelijk, zodat wij maatregelen kunnen nemen om onze klanten, editor community en medewerkers te beschermen.
1. Inzetregels (RoE)
De RoE die wij van u, als beveiligingsonderzoeker/ethisch hacker, verlangen zijn de volgende:
- Use solely the security@unbabel.com channel to report vulnerability information to us;
- Houd informatie over kwetsbaarheden die u hebt ontdekt vertrouwelijk tussen uzelf en Unbabel;
- Wij staan geen geauthenticeerde tests toe en kunnen daarom geen referenties verstrekken;
- Doe er alles aan om privacyschendingen, aantasting van de gebruikerservaring, verstoring van productiesystemen (bijv. opzettelijke denial-of-service-aanvallen) en vernietiging van gegevens tijdens beveiligingstests te vermijden, met inbegrip van de exploitatie van feitelijke kwetsbaarheden die Unbabel of een belanghebbende partij direct of indirect kunnen schaden;
2. Hoe melden?
You can report vulnerabilities to us via security@unbabel.com. Please always include a description of the vulnerability itself, where exactly did you identify this vulnerability, evidence of the issue (if applicable; screenshots, videos and similar are encouraged), as well as steps explaining how to replicate the vulnerability (we cannot reward nor acknowledge vulnerabilities we cannot verify).
3. Onze inzet
Als u deze richtlijnen volgt wanneer u een probleem aan ons meldt, verbinden wij ons ertoe dat wij:
- Geen juridische stappen ondernemen of ondersteunen die verband houden met uw onderzoek;
- Met u samenwerken om het probleem snel te begrijpen en op te lossen, waaronder a) ontvangstbevestiging van rapport binnen 5 dagen na verzending en b) het afgeven van onze conclusie over het rapport binnen 90 dagen na ontvangst van het rapport;
- U een passende vergoeding geven in overeenstemming met de ernst van de kwetsbaarheid zoals bepaald door onze interne triage resultaten.
- Om compensatie te bieden, vereisen we dat beveiligingsonderzoekers/ethische hackers een geheimhoudingsverklaring (NDA) tekenen, een kopie van een geldig identiteitsbewijs overleggen, een factuur aan ons in de VS gevestigde hoofdkantoor overleggen en een Amerikaans belastingaangifteformulier ondertekenen.
4. Uitsluitingen
Dit programma is niet bedoeld voor het melden van klachten. Het is ook niet bedoeld voor:
- Het rapporteren van problemen die al bij ons bekend zijn.
- Het rapporteren dat onze website of een bepaalde dienst van ons niet beschikbaar is, of DDoS aanvallen.
- Het rapporteren van foutmeldingen die geen gevoelige informatie bevatten of elk foutgedrag dat geen veiligheidsrisico vormt.
- Het rapporteren van phishing e-mails.
- Het rapporteren van fraude.