安全
漏洞揭露
我們重視安全研究社區,並歡迎負責任地揭露影響 Elderwise 系統和服務的漏洞。
範圍
本漏洞揭露政策適用於以下系統和服務:
範圍內
- Elderwise.ai 和所有子域
- 老年人護理應用程式(iOS 和 Android)
- 老年臨床平台(網路應用程式)
- Elderwise API 端點
- 認證和授權系統
超出範圍
- 非由 Elderwise 營運的第三方服務和集成
- 針對 Elderwise 員工的社會工程攻擊
- Elderwise 辦公室或資料中心的實體安全
- 拒絕服務 (DoS/DDoS) 攻擊
- 垃圾郵件或網路釣魚活動
參與規則
在Elderwise系統進行安全研究時,必須遵守以下規則:
- 請勿存取、修改或刪除數據 屬於其他用戶。 僅使用您擁有或具有明確授權的帳戶進行測試。
- 不要中斷服務。 避免可能降低我們系統的可用性或效能的操作,包括大量自動掃描。
- 請勿公開揭露 漏洞詳細信息,直到我們有合理的機會調查和修復該問題為止(自初次報告起至少 90 天)。
- 請勿利用漏洞 超出了證明問題所必需的範圍。 提供最低限度的概念證明。
- 遵守所有適用的法律。 請勿從事任何違反新加坡法律、《電腦濫用法》或任何其他適用司法管轄區法律的活動。
- 保護隱私。 鑑於我們平台的醫療保健性質,請格外小心,避免存取或暴露受保護的健康資訊 (PHI) 或個人資料。
報告流程
若要報告漏洞,請依照下列步驟操作:
1
提交您的報告
發送電子郵件至 [email protected],並附上漏洞的詳細描述。 包括重現步驟、受影響的系統以及您對潛在影響的評估。
2
致謝
我們將在兩 (2) 個工作天內確認收到您的報告,並為您提交的報告提供追蹤參考號碼。
3
調查
我們的安全團隊將調查報告的漏洞。 我們可能會與您聯繫以獲取更多資訊或澄清。 我們的目標是在十 (10) 個工作天內驗證報告。
4
補救措施
我們將根據已確認的漏洞的嚴重程度進行修復。 嚴重問題將在 72 小時內解決,高嚴重性問題將在 30 天內解決,中/低嚴重性問題將在 90 天內解決。
5
通知
一旦漏洞得到修復,我們將通知您解決方案,並在您的許可下承認您的貢獻。
認出
我們感謝安全研究人員為協助我們保障使用者安全所做的努力。 根據本政策報告有效漏洞的研究人員可能會收到:
- 我們的安全名人堂公開致謝(經您同意)
- 對您的貢獻的認可信
- 安全性更新和新功能的早期通知
我們目前正在製定一項正式的錯誤賞金計劃,並提供金錢獎勵。 詳細資訊將在計劃啟動時在此頁面上公佈。
安全港: 根據本政策中概述的規則,Elderwise 不會對善意發現和報告漏洞的安全研究人員採取法律行動。 我們認為根據本政策進行的安全研究是經過授權的,不會提起民事或刑事訴訟。
接觸
對於有關此揭露政策的安全報告和問題: