Vulnerability Disclosure Policy

Koordinované zveřejnění zranitelností

Coordinated Vulnerability Disclosure / VDP pro Password Depot

Platné od: 10. března 2026

Nahlásit zranitelnost Security Advisories
Safe Harbor Rozsah působnosti 48h potvrzení Coordinated Disclosure
Účel a rozsah působnosti

Účel těchto zásad

Společnost AceBIT GmbH vítá upozornění na bezpečnostní zranitelnosti v Password Depot a v souvisejících produktových webových službách provozovaných společností AceBIT. Tyto zásady popisují, jak mohou bezpečnostní výzkumníci hlásit potenciální zranitelnosti, jaká pravidla platí pro bezpečnostní výzkum a jaké závazky AceBIT přijímá v rámci koordinovaného zveřejnění.

Hlášení lze podávat v němčině nebo angličtině.

Rozsah působnosti

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Produktové webové služby na password-depot.de

Včetně komponent třetích stran, pokud jsou součástí výše uvedených produktů.

Mimo rozsah působnosti

  • Produkční zákaznická prostředí, zákaznické instalace a ostatní systémy třetích stran
  • Služby nebo infrastruktury provozované třetími stranami, které nejsou součástí Password Depot
  • Social engineering, phishing, fyzické útoky, spam, brute force, credential stuffing, hromadné skenování nebo testování denial-of-service
Safe Harbor

Safe Harbor

Pokud jednáte v dobré víře, dodržujete tyto zásady, omezíte své testy na výše popsaný rozsah působnosti a nebudete přistupovat k datům, měnit je, mazat, exfiltrovat ani narušovat služby, upustíme – v rozsahu právně přípustném – od občanskoprávních nároků vyplývajících z takového bezpečnostního výzkumu.

V rozsahu, v jakém je to v naší kompetenci a právně přípustné, nepodáme v souvislosti s takovým bezpečnostním výzkumem ani trestní oznámení.

Toto se nevztahuje na jednání mimo rozsah působnosti, na testy proti zákaznickým nebo jiným systémům třetích stran, na porušení ochrany osobních údajů, provozní narušení nebo jiná porušení platného práva.

Tyto zásady nepředstavují povolení k testování mimo zde popsaný rozsah působnosti.
Guidelines

Naše očekávání od bezpečnostních výzkumníků

1 Jednejte pečlivě, v dobré víře a omezte své testy na nezbytné minimum k reprodukovatelnému prokázání zranitelnosti.
2 Nepřistupujte ke skutečným zákaznickým datům. Pokud neúmyslně získáte přístup k citlivým údajům, okamžitě test zastavte a neprodleně nás informujte.
3 Neměňte, nemažte, neexfiltrujte ani nezveřejňujte žádná data.
4 Neprovádějte testy, které by mohly narušit systémy nebo služby či snížit jejich dostupnost.
5 Nepoužívejte social engineering, phishing, fyzické útoky a neinstalujte zadní vrátka ani mechanismy persistence.
6 Nesdílejte podrobnosti veřejně, dokud společně nestanovíme dohodnutý termín zveřejnění.
Hlášení

Jak nahlásit bezpečnostní zranitelnost

Odeslat hlášení

Své hlášení prosím zašlete na:

security@password-depot.de

Prosím uveďte

  • Dotčený produkt, verze, sestavení a komponenta
  • Popis zranitelnosti
  • Kroky k reprodukci / proof of concept
  • Vaše hodnocení dopadu a závažnosti
  • Testovací prostředí, konfigurace a předpoklady
  • Kontaktní údaje a případně přání být uveden jménem
Prosím nezasílejte zbytečné osobní údaje ani rozsáhlé datové soubory z produkčních prostředí.

Důvěrnost

S vaším hlášením a – pokud si to přejete – s vaší identitou zacházíme důvěrně, v rozsahu právně přípustném. Vaše jméno zveřejníme pouze s vaším předchozím souhlasem.

Předání vašich údajů probíhá pouze v rozsahu nezbytném pro prověření, nápravu a koordinované zveřejnění zranitelnosti nebo pro splnění zákonných povinností.

Proces

Co se stane po vašem hlášení

Potvrzení přijetí 48 hodin Potvrdíme přijetí vašeho hlášení.
Prvotní hodnocení 7 dní Sdělíme vám, zda hlášení klasifikujeme jako platné, duplicitní, mimo rozsah působnosti nebo aktuálně nereprodukovatelné.
Průběžné aktualizace každých 30 dní Informujeme vás o stavu zpracování až do vyřešení nebo do koordinovaného zveřejnění.
Zveřejnění

Koordinované zveřejnění a Security Advisories

Jakmile je k dispozici bezpečnostní aktualizace nebo jiné účinné nápravné opatření, zpravidla pro potvrzené zranitelnosti vyžadující nápravu zveřejníme security advisory.

Pokud by okamžité zveřejnění ohrozilo bezpečnost našich uživatelů, můžeme zveřejnění odložit na vhodný termín.

Advisory obsahuje minimálně

  • Popis zranitelnosti
  • Dotčené produkty a verze
  • Dopad a závažnost
  • Jasné pokyny k nápravě nebo zmírnění

Upozornění na zákonné oznamovací povinnosti

Pokud hlášení naznačuje aktivně zneužívanou zranitelnost nebo závažný bezpečnostní incident, můžeme být ze zákona povinni předat potřebné technické informace příslušným orgánům, příslušnému CSIRT a ENISA a informovat dotčené uživatele.

Vaši identitu v tomto kontextu sdělujeme pouze v rozsahu, v jakém je to právně vyžadováno.

Uznání

V současné době nenabízíme finanční odměny ani platby v rámci bug bounty, pokud to není výslovně samostatně oznámeno.

Pokud si to přejete, uvedeme vás jménem po vyřešení zranitelnosti v security advisory nebo v poděkování. Sdělte nám to prosím ve svém hlášení.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Německo
E-mail: security@password-depot.de
Nahlásit zranitelnost