Sări la conținut

    Politica de securitate

    Securitate la Vanadium Systems

    Lucram cu cercetatorii de securitate pentru a proteja clientii nostri. Mai jos gasesti scope-ul, canalele de raport si SLA-urile noastre.

    Politica de divulgare responsabila

    Apreciem munca cercetatorilor de securitate care ne ajuta sa mentinem siguranta utilizatorilor. Te rugam sa ne acorzi un timp rezonabil pentru triaj si remediere inainte de divulgare publica si sa nu accesezi, modifici sau exfiltrezi date care nu iti apartin.

    Acest document este o sinteza publica a politicii formale si a fisierului /.well-known/security.txt (RFC 9116).

    Cum raportezi o vulnerabilitate

    • Email (preferat): security@vanadium.systems
    • Formular de contact: vanadium.systems/contact — mentioneaza "Security disclosure" in subiect.
    • Te rugam sa incluzi: pasi de reproducere, impact estimat, versiune/URL afectat si (optional) un PoC minimal.
    • NU deschide issue public pe GitHub pentru vulnerabilitati.

    Scope

    In scope:

    • vanadium.systems si toate subdomeniile productive (*.vanadium.systems)
    • Cloudflare Pages Functions din /api/*
    • Codul public din repository-ul oficial

    In afara scope-ului:

    • Atacuri DoS / DDoS volumetrice
    • Social engineering, phishing simulat, atacuri fizice
    • Vulnerabilitati fara impact demonstrabil (best-practice findings, lipsa unui header informational)
    • Probleme in servicii third-party (Cloudflare, Resend, Google Fonts) — raporteaza direct vendorului
    • Rapoarte automate generate de scanere fara verificare manuala
    • Vulnerabilitati care necesita acces fizic sau credentiale compromise extern

    SLA de raspuns

    • Triaj initial: 72 ore lucratoare
    • Evaluare completa: 5 zile lucratoare
    • Remediere critic: 7-14 zile
    • Remediere moderat: 30-60 zile
    • Remediere low/info: best-effort, fereastra urmatoare de release

    Safe Harbor

    Cercetatorii care testeaza cu buna-credinta si respecta aceasta politica nu vor face obiectul unor actiuni legale sau administrative din partea Vanadium Systems. Aceasta include:

    • Accesarea exclusiv a conturilor proprii sau create in scop de testare
    • Evitarea afectarii disponibilitatii serviciilor pentru alti utilizatori
    • Nedivulgarea publica a vulnerabilitatii inainte de remediere si acord
    • Neexfiltrarea datelor altor utilizatori; oprirea testarii imediat ce confirmi accesul

    Safe Harbor se aplica doar actiunilor consistente cu aceasta politica. Activitatile autorizate sunt considerate conduita legitima in sensul Legii nr. 161/2003 si al GDPR (Art. 6(1)(f) — interes legitim).

    Acknowledgments

    Multumim cercetatorilor care au raportat responsabil vulnerabilitati. Lista publica va fi populata pe masura ce primim rapoarte validate si confirmate.

    Vrei sa apari aici? Trimite un raport pe security@vanadium.systems si mentioneaza numele/handle-ul cu care doresti sa fii creditat.

    Ai o intrebare care nu tine de o vulnerabilitate concreta?

    Contacteaza-ne

    Contact direct: contact@vanadium.systems