Polityka bezpieczeństwa
Ostatnia aktualizacja: 2026-05-13
Traktujemy bezpieczeństwo poważnie. Niniejsza polityka określa, jak zgłosić lukę, co obiecujemy w zamian i co jest objęte zakresem. Kanoniczne metadane dla badaczy bezpieczeństwa znajdują się również pod adresem /.well-known/security.txt (RFC 9116).
1. Jak zgłosić
Wyślij e-mail na adres [email protected] - klucz PGP na życzenie - lub otwórz prywatne zgłoszenie na stronie https://hackerone.com/elido. Obie drogi prowadzą do tej samej kolejki dyżurnej. Prosimy o dołączenie kroków do reprodukcji, dotkniętego adresu URL/punktu końcowego oraz zaobserwowanego wpływu. Nie publikuj szczegółów publicznie, dopóki nie skoordynujemy poprawki.
2. SLA odpowiedzi
Pierwsza odpowiedź: w ciągu 24 godzin. Klasyfikacja (triage) z oceną dotkliwości: w ciągu 5 dni roboczych. Docelowy czas rozwiązania: 14 dni dla poziomu High/Critical, 30 dni dla Medium/Low. Jeśli naprawa wymaga więcej czasu (np. oczekiwanie na zależność zewnętrzną), będziemy przesyłać aktualizacje co tydzień.
3. Zakres (in scope)
elido.app (marketing), app.elido.app (panel), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (warstwy przekierowań), docs.elido.app, aplikacje Elido na iOS i Androida, pakiety npm elidoapp/elido-* oraz serwer Elido MCP (packages/mcp-server).
4. Poza zakresem (out of scope)
Usługi zewnętrzne, z których korzystamy (nasza warstwa uwierzytelniania i dostawca tożsamości, nasz dostawca czatu wsparcia, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - prosimy o zgłaszanie bezpośrednio do nich. Ataki typu brute-force na punkty końcowe z limitami (sami je testujemy). Socjotechnika wobec pracowników Elido. Ataki wolumetryczne / DoS. Znaleziska zależne od zainstalowania przez ofiarę złośliwego oprogramowania poza Elido. Otwarte przekierowanie (open redirect) przez sam krótki link - to jest istotą usługi.
5. Bezpieczna przystań (safe harbour)
Jeśli podejmiesz wysiłek w dobrej wierze, aby przestrzegać tej polityki, nie podejmiemy kroków prawnych i będziemy współpracować z Tobą w celu zrozumienia i rozwiązania problemu. W szczególności: testowanie na własnych kontach, niepobieranie danych produkcyjnych, niezakłócanie pracy innych klientów i nieujawnianie informacji publicznie przed wdrożeniem poprawki.
6. Nagrody
Elido prowadzi płatny program bug bounty na platformie HackerOne. Orientacyjne nagrody (USD): Critical 3000 $, High 1500 $, Medium 500 $, Low 200 $, Trivial – równowartość gadżetów (swag) o wartości 50 $. Ostateczna kwota zależy od wpływu, nowatorstwa i jakości zgłoszenia. Za Twoją zgodą wymieniamy również niepłatne, prawidłowe zgłoszenia na stronie /legal/security-acknowledgments.
7. Podziękowania
Publicznie wyróżniamy badaczy, którzy nam pomagają, na stronie /legal/security-acknowledgments - według Twojego wyboru: pseudonimem lub imieniem i nazwiskiem, i dopiero po naprawieniu błędu.