Stefna um ábyrga upplýsingagjöf

Inngangur

Öryggi sölukerfa Íslenskrar getspár er mjög mikilvægt og við förum vel yfir allar tilkynningar sem okkur berast varðandi mögulega veikleika, sem og önnur atriði sem bætt gætu upplifun viðskipavina í sölukerfum okkar.
Þrátt fyrir viðleitni Íslenskrar getspár til að tryggja öryggi kerfa sinna er mögulegt að einstaka veikleikar fari framhjá gæðaeftirliti okkar. Ef þú telur þig búa yfir upplýsingum um slíka veikleika, vinsamlega sendu okkur tilkynningu á oryggi@getspa.is

Til athugunar:

Vinsamlega tilkynnið hugsanlegan veikleika eins fljótt og auðið er. Samkvæmt lögum skal tilkynna öryggisbresti sem varða Persónuvernd innan 72 klst. frá því þeirra verður vart.
Haldið trúnað varðandi þær upplýsingar sem þar koma fram þannig að utanaðkomandi aðilar hafi ekki aðgang að upplýsingunum.

Vinsamlega látið nákvæmar upplýsingar fylgja tilkynningunni, svo sem:

- Hvernig hugsanlegur veikleiki fannst.
- Hvers konar veikleika (t.d. „buffer overflow“, „SQL injection“, „cross-site scripting“ og svo framvegis).
- Full slóð á hugsanlegan veikleika.

Ekki tilkynna hugsanlegan veikleika á samfélagsmiðlum, svo sem Linkedin, Facebook, Twitter eða álíka vefsvæðum.
Ekki nýta hugsanlegan veikleika með því að afrita, eyða, breyta eða skoða gögn af óþörfu. Ekki hlaða niður óþarfa gögnum til að sannreyna hugsanlegan veikleika ef sá möguleiki er til staðar.
Ekki koma fyrir öðrum óværum svo sem trjóuhestum, lausnargjaldsforritum eða vírusum.
Ekki reyna að finna veikleika með því að notast við „ddos“ árásir, „social engineering“, „spam“, eða aðrar álíka lausnir.
Ekki gera árásir á raunlægt öryggiskerfi fyrirtækisins.
Eyðið öllum gögnum sem þið gætuð hafa komist yfir um leið og þið hafið tilkynnt veikleikann.

Þessi stefna nær hvorki til þeirra aðila sem við höfum valið til að gera veikleikaskönnun á kerfum okkar né veitir hún utanaðkomandi aðilum heimild til þess að framkvæma slíkar aðgerðir eða gera aðrar skipulagðar leitir að öryggisbrestum í net- eða sölukerfum Íslenskrar getspár.