Zásady zodpovědného hlášení zranitelností

Úvod

Bezpečnost bereme vážně — nejen u našich zákazníků, ale i u sebe. Pokud jste objevili bezpečnostní zranitelnost v našich systémech nebo na našem webu, budeme rádi, když nám ji nahlásíte. Tato stránka popisuje, jak to udělat a co od nás můžete čekat.

Rozsah

Tato politika se vztahuje na:

• actinet.cz a všechny subdomény
• support.actinet.cz

Nevztahuje se na infrastrukturu, systémy ani služby provozované pro naše zákazníky. Testování zákaznických prostředí bez výslovného souhlasu příslušného zákazníka je zakázáno.

Pravidla

Žádáme vás, abyste při hledání a hlášení zranitelností dodržovali následující pravidla:

• Neprovádějte destruktivní testování — žádný DoS, žádné mazání nebo modifikace dat
• Nepřistupujte k datům jiných uživatelů a pokud na ně náhodou narazíte, nešiřte je dál
• Nedávejte nález veřejně k dispozici, dokud nebude opraven nebo dokud se nedohodneme na zveřejnění
• Nesnažte se zranitelnost využít nad rámec toho, co je nutné pro ověření její existence
• Dodržujte platné zákony České republiky

Jak nahlásit

Zranitelnost nahlaste e-mailem na info@actinet.cz.

Do zprávy prosím uveďte:

• Popis zranitelnosti a její typ (XSS, SQLi, IDOR, chybná konfigurace atd.)
• Kroky k reprodukci — jak se k zranitelnosti dostat
• Odhadovaný dopad — co by útočník mohl získat nebo způsobit
• Screenshoty, logy nebo proof-of-concept, pokud jsou k dispozici
• Váš kontakt pro případnou zpětnou vazbu

Pokud chcete komunikovat šifrovaně, napište si nejprve o náš PGP klíč.

Co od nás můžete čekat

• Potvrzení přijetí — do 3 pracovních dnů
• Prvotní vyhodnocení — do 10 pracovních dnů vám sdělíme, zda nález uznáváme a jaký je plán dalšího postupu
• Opravu — v přiměřené lhůtě odpovídající závažnosti nálezu
• Informaci o opravě — jakmile bude zranitelnost odstraněna, dáme vám vědět

Safe harbor

Pokud budete postupovat v souladu s těmito zásadami, zavazujeme se, že:

• Nebudeme proti vám podnikat žádné právní kroky
• Nebudeme podávat trestní oznámení ani jinak spolupracovat s orgány činnými v trestním řízení v souvislosti s vaším výzkumem
• Budeme s vámi jednat v dobré víře a s respektem

Toto se vztahuje výhradně na systémy ve výše uvedeném rozsahu a za podmínky dodržení pravidel této politiky.

Uznání

Se souhlasem nálezce jsme ochotni veřejně poděkovat za zodpovědně nahlášené zranitelnosti. Pokud si přejete být uvedeni (jméno, přezdívka nebo odkaz), dejte nám vědět.

V tuto chvíli neprovozujeme bug bounty program s finanční odměnou.

Kontakt

• E-mail: info@actinet.cz
• security.txt: /.well-known/security.txt

Tyto zásady jsou účinné od 12. května 2026.