Skip to main content

Sist oppdatert: 2026-05-21

Sikkerhet & Sårbarhetsrapportering

Vi tar sikkerheten til kundenes data på alvor. Hvis du tror du har funnet en sikkerhetssårbarhet i en tjeneste fra ELLYTIC Technologies UG (haftungsbeschränkt), oppfordrer vi deg til å rapportere den i henhold til retningslinjene nedenfor. Vi forplikter oss til å samarbeide i god tro med forskere og anerkjenne gyldige rapporter.

Innenfor omfang

Følgende ELLYTIC-eiendommer er innenfor omfanget for sikkerhetsrapporter:

  • ellytic.com og alle subdomener (*.ellytic.com)
  • app.ellytic.com (Ops Workbench)
  • API-endepunkter under ellytic.com/api/* og app.ellytic.com/api/*
  • Autentiseringsflyter, inkludert OAuth, magic-link og TOTP MFA
  • Kundedashbord og bestillingsflyter
  • Wizard-utsjekking, betaling og dokumentopplastingsflyter

Utenfor omfang

Følgende er eksplisitt utenfor omfanget, og rapporter om dette vil ikke være kvalifisert for anerkjennelse:

  • Tjenestenektangrep (DoS / DDoS) og volumetriske tester
  • Sosial manipulering, phishing eller fysiske angrep mot ansatte, kontraktører eller kunder
  • Funn fra automatiserte skannere uten fungerende proof-of-concept (f.eks. manglende security headers uten utnyttbar effekt)
  • Forslag til beste praksis eller herding uten en konkret sårbarhet (f.eks. CSP-justeringer, TLS-cipher-preferanser)
  • Rapporter mot tredjepartstjenester vi ikke drifter (Stripe, IDnow, YouSign, Sanity, Vercel, Neon, Resend) — rapporter disse direkte til leverandøren
  • Problemer som krever fysisk tilgang til et offers ulåste enhet
  • Self-XSS eller sårbarheter som krever konfigurasjonsendringer fra offerets side for å være utnyttbare
  • Offentliggjøring av utdatert programvare (CVE i en avhengighet) uten påvist utnyttelsesvei i vårt miljø

Slik rapporterer du

Send en detaljert rapport til security@ellytic.com. Inkluder nok informasjon til at vi raskt kan reprodusere og triagere problemet. PGP-kryptering støttes på forespørsel.

Vennligst ikke offentliggjør problemet før vi har bekreftet at det er utbedret. Vi forplikter oss til en offentlig anerkjennelse (med ditt samtykke) når en rettelse er rullet ut.

  • Berørt URL, endepunkt eller komponent
  • Trinn-for-trinn-reproduksjon (kommandoer, payloads, forventet vs. faktisk oppførsel)
  • Konsekvensvurdering — hvilke data eller funksjoner er i fare?
  • Dine kontaktopplysninger og hvordan du ønsker å bli kreditert (ekte navn, alias eller anonymt)
  • Eventuelle støttende skjermbilder, video eller HTTP-forespørselslogger (vennligst sladd data fra tredjeparter)

Safe Harbor

Vi vil ikke forfølge sivile søksmål eller involvere politi for forskning i god tro som er i samsvar med disse retningslinjene. «I god tro» betyr:

  • Du gjør en oppriktig innsats for å unngå personvernkrenkelser, ødeleggelse av data og tjenesteforstyrrelser
  • Du slutter å teste så snart du har fastslått at en sårbarhet eksisterer, og rapporterer den
  • Du får ikke tilgang til, endrer eller laster ned data utover minimumet som kreves for å demonstrere problemet
  • Du retter deg kun mot dine egne testkontoer — aldri en annen kundes data
  • Du utnytter ikke problemet for profitt og deler det ikke med tredjeparter før offentliggjøring
  • Du gir oss et rimelig vindu (se responstider nedenfor) til å utbedre før offentlig offentliggjøring

Våre responstider

Vi tar sikte på å svare på sikkerhetsrapporter innen disse målene. Kritiske problemer prioriteres over planlagt arbeid.

  • Første bekreftelse: innen 2 virkedager
  • Triagering og alvorlighetsvurdering: innen 5 virkedager
  • Statusoppdateringer mens utbedring pågår: minst hver 14. dag
  • Mål for løsning (kritisk / høy alvorlighet): 30 dager fra bekreftelse
  • Mål for løsning (middels / lav alvorlighet): 90 dager fra bekreftelse
  • Offentlig offentliggjøring: koordinert med rapportøren, vanligvis etter at en rettelse er distribuert

Belønninger

ELLYTIC driver for tiden ikke et betalt bug-bounty-program. Vi vil offentlig anerkjenne gyldige rapporter (med ditt samtykke) på denne siden og i vår hall of fame. Etter hvert som vi vokser, planlegger vi å innføre pengebelønninger for funn med høy effekt — rapportører av kvalifiserende rapporter vil bli invitert først.

Anerkjennelser

Vi takker alle forskere som har rapportert problemer til oss på en ansvarlig måte. Rapportører listes her med deres samtykke. (Ingen offentlige rapporter til dags dato — vær den første.)

Kontakt

All sikkerhetsrelatert korrespondanse skal sendes til security@ellytic.com.

  • E-post: security@ellytic.com
  • Maskinlesbar: /.well-known/security.txt (RFC 9116)
  • Foretrukne språk: engelsk, tysk
  • Post: ELLYTIC Technologies UG (haftungsbeschränkt), se Imprint for fullstendig adresse
Tilbake til Hjem