VULNERABILITY DISCLOSURE POLICY
Polityka odpowiedzialnego zgłaszania podatności bezpieczeństwa
Wersja: 1.0
Data wejścia w życie: 28.06.2026
---
1. Cel dokumentu
Bezpieczeństwo Platformy ERYO Creator Platform jest jednym z naszych priorytetów.
Niniejsza Polityka określa zasady odpowiedzialnego zgłaszania podatności bezpieczeństwa wykrytych w aplikacjach mobilnych, stronach internetowych oraz infrastrukturze ERYO.
Celem dokumentu jest umożliwienie odpowiedzialnego zgłaszania podatności przed ich publicznym ujawnieniem oraz zapewnienie bezpiecznej współpracy z osobami zajmującymi się bezpieczeństwem informacji.
---
2. Zakres
Polityka obejmuje:
* aplikacje mobilne ERYO,
* strony internetowe Platformy,
* API udostępniane przez ERYO,
* panele administracyjne,
* system logowania,
* system płatności w zakresie kontrolowanym przez ERYO,
* infrastrukturę serwerową zarządzaną przez ERYO.
Polityka nie obejmuje usług świadczonych przez niezależnych dostawców, takich jak operatorzy płatności lub sklepy z aplikacjami.
---
3. Kontakt
Zgłoszenia dotyczące bezpieczeństwa należy kierować wyłącznie na adres:
Nie należy przesyłać zgłoszeń na inne adresy e-mail.
---
4. Jak zgłosić podatność
Zgłoszenie powinno zawierać:
* opis podatności,
* kroki pozwalające odtworzyć problem,
* ocenę potencjalnego wpływu,
* adres URL lub nazwę aplikacji,
* wersję aplikacji,
* zrzuty ekranu lub nagrania (jeżeli są pomocne),
* dane kontaktowe zgłaszającego (opcjonalnie).
---
5. Oczekiwane działania zgłaszającego
Osoba zgłaszająca zobowiązuje się do:
* działania w dobrej wierze,
* nieujawniania podatności publicznie przed jej usunięciem,
* niewykorzystywania podatności do uzyskania nieuprawnionego dostępu do danych,
* niezakłócania działania Platformy,
* nieusuwania ani niezmieniania danych należących do innych osób,
* niepobierania danych wykraczających poza zakres niezbędny do potwierdzenia istnienia podatności.
---
6. Działania ERYO
Po otrzymaniu zgłoszenia ERYO może:
* potwierdzić otrzymanie zgłoszenia,
* poprosić o dodatkowe informacje,
* zweryfikować podatność,
* usunąć podatność,
* poinformować zgłaszającego o zakończeniu prac.
Termin usunięcia podatności zależy od jej charakteru, stopnia ryzyka oraz złożoności problemu.
---
7. Zakres dozwolonych testów
Dozwolone są wyłącznie działania niepowodujące szkody dla Platformy ani jej Użytkowników.
W szczególności zabrania się:
* przeprowadzania ataków typu Denial of Service (DoS/DDoS),
* wykorzystywania podatności do uzyskania trwałego dostępu do systemów,
* instalowania złośliwego oprogramowania,
* usuwania danych,
* modyfikowania danych,
* uzyskiwania dostępu do danych innych Użytkowników.
---
8. Safe Harbor
ERYO nie będzie podejmować działań prawnych wobec osoby zgłaszającej podatność, jeżeli działała ona:
* zgodnie z niniejszą Polityką,
* w dobrej wierze,
* wyłącznie w celu zgłoszenia podatności,
* bez naruszania obowiązujących przepisów prawa.
Postanowienie to nie wyłącza odpowiedzialności wynikającej z bezwzględnie obowiązujących przepisów prawa.
---
9. Nagrody
Na dzień publikacji niniejszej Polityki ERYO nie prowadzi programu Bug Bounty.
ERYO może dobrowolnie podziękować zgłaszającemu za pomoc w poprawie bezpieczeństwa Platformy.
---
10. Poufność
Informacje dotyczące zgłoszonych podatności są traktowane jako poufne do czasu ich usunięcia lub uzgodnienia innego sposobu postępowania ze zgłaszającym.
---
11. Powiązane dokumenty
Niniejsza Polityka stanowi uzupełnienie:
* Information Security Policy,
* Acceptable Use Policy,
* Privacy Policy,
* Regulaminu Platformy.
---
12. Zmiany dokumentu
ERYO może aktualizować niniejszą Politykę w przypadku zmian organizacyjnych, technologicznych lub prawnych.
---
13. Historia zmian
| Wersja | Data | Opis zmian
| 1.0 | [28.06.2026] | Pierwsza wersja dokumentu |
ERYO-LF-016
©er.yo 2025. All rights reserved.
