Security & Responsible Disclosure

Bezpieczeństwo danych Klientów jest fundamentem NaprawKSeF. Jeśli odkryłeś lukę - pisz, działamy szybko.

Kontakt do zespołu Security

E-mail: kontakt@naprawksef.pl
Pierwsza odpowiedź: do 24h roboczych (PN-PT 9-17 CET).
Klucz PGP / Signal - wyślij prośbę, odpowiemy z fingerprintem.

Nasze SLA odpowiedzi

Pierwsza odpowiedź
≤ 24h
Człowiek czyta, klasyfikuje, otwiera ticket.
Triaż (severity)
≤ 72h
Komunikujemy CVSS, plan, ETA fixa.
Fix - P0 (krytyczne)
≤ 7 dni
Niejawny patch + post-mortem dla affected orgs.
Fix - P1
≤ 30 dni
Disclosure 90 dni po wydaniu poprawki.

Zakres i kategorie podatności

W zakresie (in-scope)

  • naprawksef.pl i wszystkie subdomeny *.naprawksef.pl
  • api.naprawksef.pl - endpoints /api/v1/*, /api/dashboard/*
  • Aplikacja webowa, SDK (TypeScript, PHP), Postman collection
  • Wszystkie webhooki wysyłane z naszego IP
  • Klucze API i mechanizmy ich rotacji / IP allowlist
  • System SLA, raporty i kredyty Stripe

Poza zakresem

  • Zewnętrzne SaaS (Stripe, Supabase, Hetzner, Resend, PostHog, Sentry) - zgłoś do ich PSIRT.
  • Klikbait clickjacking bez praktycznego impactu.
  • Brak nagłówków non-security (np. X-Powered-By) bez exploitu.
  • Rate limiting na publicznych stronach landingowych.
  • Self-XSS bez wektora propagacji.
  • DoS / DDoS - proszę nie testować na produkcji.

Zasady (rules of engagement)

  1. Nie atakuj kont innych klientów. Załóż konto testowe (3 minuty, bez karty) i testuj na nim.
  2. Nie ściągaj danych innych Klientów. Jeśli omyłkowo zobaczyłeś - natychmiast usuń i zgłoś.
  3. Nie testuj DoS/DDoS. Rate-limit możesz testować z umiarem (do 10 req/s) - większy load uderza w SLA innych orgs.
  4. Nie modyfikuj/usuń produkcyjnych danych. Tylko czytaj, dokumentuj, zgłaszaj.
  5. Disclosure timeline: 90 dni od wydania fixa (lub krócej jeśli się umówimy). Wcześniej - proszę poczekać.

Co już mamy

AES-256-GCM dla danych w spoczynku (Supabase + Hetzner Volumes)
TLS 1.3, HSTS preload, X-Frame-Options DENY, CSP
API key rotation + grace period + IP allowlist (Phase 8.3)
RLS per-organization na wszystkich tabelach
HMAC-signed webhooks + SSRF guard + timing-safe equality
Audit log (5-letnia retencja) z eksportem RODO
OWASP API Top 10 audit + threat model report (na żądanie pod NDA)
Cotygodniowy semgrep scan w CI + Dependabot
Strict XSD validator (libxml-wasm) opcjonalnie per-org
SLA 99.90% z automatycznymi kredytami serwisowymi
SLA i mechanizmy bezpieczeństwasecurity.txt (RFC 9116)