Bezpieczeństwo · Odpowiedzialne ujawnianie

Zgłoś podatność.

CyberZgodność EDU to platforma zgodności z KSC i NIS2 — obsługujemy szkoły, JST i IOD-ów, którzy oceniają bezpieczeństwo swoich dostawców. Jeśli znajdziesz coś niepokojącego, chcemy wiedzieć. Ta strona wyjaśnia, jak nam to zgłosić, czego możesz oczekiwać i co obejmuje program.

Jak zgłosić podatność

Wyślij wiadomość e-mail na adres security@cyberzgodnosc.edu.pl. Dołącz jak najwięcej szczegółów: adres URL lub endpoint, kroki reprodukcji, dowód koncepcji (zrzuty ekranu, zrzuty żądań/odpowiedzi) oraz ocenę wpływu. Prosimy, aby nie otwierać publicznych zgłoszeń na GitHubie ani postów w mediach społecznościowych zanim nie zdążymy odpowiedzieć.

Raport możesz zaszyfrować kluczem PGP dostępnym pod adresem /.well-known/pgp.asc.

Wersja maszynowo czytelna tej polityki jest dostępna jako /.well-known/security.txt (RFC 9116).

Gotowy do zgłoszenia? Napisz bezpośrednio:

security@cyberzgodnosc.edu.pl →

Czego możesz oczekiwać

Staramy się odpowiedzieć na każde zgłoszenie w ciągu 2 dni roboczych z potwierdzeniem odbioru. Triaż (weryfikacja, czy problem jest zasadny, ocena krytyczności) następuje w ciągu 5 dni roboczych.

Po potwierdzeniu podatności będziemy informować Cię na bieżąco o postępach w naprawianiu. Prosimy o nieujawnianie zgłoszenia publicznie do czasu wydania poprawki lub upływu 90 dni od zgłoszenia — w zależności od tego, co nastąpi wcześniej.

Za Twoją zgodą zamieścimy podziękowanie na tej stronie po rozwiązaniu problemu.

Zakres programu

Następujące zasoby są objęte programem:

W zakresie

  • app.cyberzgodnosc.edu.pl — panel klienta i API
  • api.cyberzgodnosc.edu.pl — origin REST API
  • cyberzgodnosc.edu.pl — ta strona marketingowa (wstrzykiwanie treści, otwarte przekierowania)
  • Ścieżka płatności Stripe (app.cyberzgodnosc.edu.pl/billing/**)
  • Przepływy uwierzytelniania: passkeys (FIDO2/WebAuthn), TOTP, SAML 2.0, OIDC

Poza zakresem

  • SaaS zewnętrzne: Cloudflare, Stripe, Microsoft Graph, Backblaze
  • Ataki socjotechniczne na pracowników lub klientów
  • Ataki fizyczne na infrastrukturę lub biuro
  • Ataki typu denial-of-service na systemy produkcyjne
  • Wyniki automatycznych skanerów bez wykazania wpływu
  • Brakujące nagłówki HTTP bez możliwości eksploitacji

Poza zakresem — szczegóły

Korzystamy z Cloudflare, Stripe, Microsoft i Backblaze jako podprocesorów. Podatności w tych systemach należy zgłaszać bezpośrednio do odpowiednich dostawców przez ich własne programy ujawniania.

Zgłoszenia dotyczące ograniczania liczby żądań i brute-force są w zakresie wyłącznie wtedy, gdy można wykazać realną możliwość przejęcia konta lub dostępu do danych — nie tylko brak throttlingu na publicznym endpoincie.

Bezpieczna przystań

CyberZgodność EDU nie będzie inicjować ani popierać żadnych działań prawnych przeciwko badaczom, którzy odkryją i zgłoszą podatności bezpieczeństwa w dobrej wierze i zgodnie z niniejszą polityką. Przez badania w dobrej wierze rozumiemy:

  • Uzyskujesz dostęp wyłącznie do kont i danych, których jesteś właścicielem lub do których masz wyraźne zezwolenie na testowanie.
  • Nie eksfiltujesz, nie modyfikujesz ani nie niszczysz danych ponad to, co jest niezbędne do wykazania podatności.
  • Nie obniżasz celowo dostępności ani wydajności platformy.
  • Zgłaszasz problem niezwłocznie i dajesz rozsądny czas na naprawę.
  • Nie ujawniasz podatności osobom trzecim przed zakończeniem skoordynowanego ujawnienia.

Niniejsza bezpieczna przystań obowiązuje dla zgłoszeń wysłanych na adres security@cyberzgodnosc.edu.pl i nie dotyczy celowych ataków, prób wyłudzenia ani roszczeń zgłoszonych po publicznym ujawnieniu bez wcześniejszego powiadomienia.

Program nagród

Oceniamy możliwość uruchomienia formalnego, płatnego programu bug-bounty na platformie Intigriti lub HackerOne w II połowie 2026 r. Do czasu uruchomienia programu:

  • Odpowiedzialne ujawnienie jest potwierdzane publicznie na tej stronie (za Twoją zgodą).
  • Nagrody finansowe są rozpatrywane indywidualnie dla zgłoszeń o wysokiej krytyczności — obejście uwierzytelniania, mieszanie danych najemców, manipulacja łańcuchem audytowym lub podobne.
  • Wszystkie inne prawidłowe zgłoszenia otrzymują pisemne potwierdzenie i wpis na tej stronie.

Na chwilę obecną nie określamy minimalnej ani maksymalnej kwoty nagrody; kwotę uzgodnimy z osobą zgłaszającą przed wypłatą.

Podziękowania

Jesteśmy wdzięczni poniższym badaczom, którzy odpowiedzialnie zgłosili podatności.

Brak opublikowanych badaczy — bądź pierwszy.