Pendahuluan
PT Pradnyana Learning Partner (yang selanjutnya disebut ‘Pradnyana’) atau “Kami” atau “Kita” atau “Milik Kami”, menghargai dan menilai identifikasi dan pelaporan kerentanan keamanan yang dilakukan oleh peneliti keamanan yang beritikad baik dan beretika (“Anda”).
Kebijakan pengungkapan kerentanan ini berlaku untuk setiap kerentanan yang Anda pertimbangkan untuk dilaporkan kepada kami. Kami menyarankan Anda untuk membaca kebijakan pengungkapan kerentanan ini sepenuhnya sebelum Anda melaporkan kerentanan dan selalu bertindak sesuai dengan kebijakan ini.
Kami tidak menawarkan program bug bounty atau imbalan uang untuk pengungkapan yang bertanggung jawab dan permintaan kompensasi tidak akan dipertimbangkan sesuai dengan Kebijakan Pengungkapan yang Bertanggung Jawab ini.
Pelaporan
Jika Anda yakin telah menemukan kerentanan keamanan, silakan kirimkan laporan Anda kepada kami menggunakan alamat surel berikut: privasi@pradnyana-lp.com
Laporan Anda harus mencakup detail tentang:
- Situs web, domain, IP, atau halaman tempat kerentanan dapat diamati.
- Langkah-langkah untuk mereproduksi yang harus berupa bukti konsep yang tidak berbahaya dan tidak merusak. Ini membantu memastikan bahwa laporan dapat ditangani dengan cepat dan akurat.
Jika Anda memiliki kekhawatiran atau pertanyaan terkait pelaporan, silakan kirim email ke privasi@pradnyana-lp.com untuk mendapatkan saran.
Apa yang dapat Anda harapkan
Kami bertujuan untuk mengkonfirmasi penerimaan laporan kerentanan Anda dalam waktu 5 hari kerja dan menindaklanjuti laporan Anda dalam waktu 10 hari kerja. Kami juga bertujuan untuk terus memberi tahu Anda tentang kemajuan dan penyelesaian aktivitas perbaikan apa pun. Kami mungkin menghubungi Anda jika kami memerlukan informasi lebih lanjut mengenai laporan Anda.
Perbaikan atas kerentanan yang dilaporkan dinilai berdasarkan dampaknya, tingkat keparahannya, dan kompleksitas eksploitasinya. Laporan kerentanan mungkin membutuhkan waktu untuk ditindaklanjuti atau ditangani. Anda dipersilakan untuk menanyakan statusnya, tetapi kami meminta Anda untuk menghindari melakukannya lebih dari sekali setiap 14 hari agar tim kami dapat fokus pada perbaikan.
Panduan
Anda TIDAK BOLEH:
- Melanggar hukum atau peraturan yang berlaku.
- Mengakses data dalam jumlah yang tidak perlu, berlebihan, atau signifikan, atau memodifikasi data dalam sistem atau layanan kami.
- Mengganggu layanan atau sistem kami, menggunakan alat pemindaian invasif atau destruktif berintensitas tinggi untuk menemukan kerentanan atau mencoba segala bentuk penolakan layanan.
- Mengirimkan laporan yang merinci kerentanan yang tidak dapat dieksploitasi, atau laporan yang menunjukkan bahwa layanan tidak sepenuhnya sesuai dengan “praktik terbaik”, misalnya header keamanan yang hilang.
- Mengirimkan laporan yang merinci kelemahan konfigurasi TLS, misalnya dukungan cipher suite yang “lemah” atau adanya dukungan TLS1.0.
- Melakukan rekayasa sosial, ‘phishing’, atau menyerang staf atau infrastruktur kami secara fisik.
- Menuntut kompensasi finansial untuk mengungkapkan kerentanan apa pun.
Anda harus:
- Selalu mematuhi peraturan perlindungan data dan tidak boleh melanggar privasi pengguna, staf, kontraktor, layanan, atau sistem kami. Anda tidak boleh, misalnya, membagikan, mendistribusikan kembali, atau gagal mengamankan data yang diambil dari sistem atau layanan dengan benar.
- Hapus semua data yang diperoleh selama penelitian Anda secara aman segera setelah tidak lagi diperlukan atau dalam waktu 1 bulan setelah kerentanan teratasi, mana pun yang terjadi lebih dulu (atau sebagaimana dipersyaratkan oleh hukum perlindungan data).
Aspek Hukum
Kebijakan ini dirancang agar sesuai dengan praktik terbaik pengungkapan kerentanan umum. Kebijakan ini tidak memberi Anda izin untuk bertindak dengan cara apa pun yang tidak sesuai dengan hukum, atau yang dapat menyebabkan kami melanggar kewajiban hukum apa pun.