Přeskočit na obsah
Zpět

Bezpečnostní politika

Jak nahlásit bezpečnostní problém a co se stane potom.

Strojově čitelná verze této politiky žije na /.well-known/security.txt


Bezpečnost bereme vážně

Seth pracuje se soukromými konverzacemi, reflexemi a platebními údaji. Pokud najdeš zranitelnost, prosím nahlas ji níže uvedeným kanálem dřív, než ji zveřejníš. S poctivými výzkumníky jednáme jako s partnery — ne s nepřáteli.


Jak nahlásit

evigilans-data@tuta.com

Použij v předmětu prefix "[SECURITY]", aby se zpráva správně přesměrovala. PGP není nutné, schránku kontrolujeme denně.

V hlášení prosím uveď:

  • Jasný popis problému
  • Kroky k reprodukci (URL, request, payload, použitý účet)
  • Odhad dopadu (co za data nebo účty může být zasaženo)
  • Jakýkoliv proof-of-concept, který jsi ochotný/á sdílet

Co se stane dál

  • Do 72 hodin: dostaneš od člověka potvrzení a tracking referenci.
  • Do 14 dnů: potvrdíme problém, vysvětlíme závažnost a sdílíme plán opravy.
  • Koordinovaná publikace: termín zveřejnění si dohodneme společně. Pokud chceš, uvedeme tě jako reportéra.
  • Zpoždění se stávají: pokud oprava vyžaduje víc než 90 dní, informujeme tě o důvodu.

Co patří do rozsahu

V rozsahu
  • sethapp.com a její produkční subdomény
  • Veřejné endpointy chatu, autentizace, plateb a webhooků
  • Integrace Supabase / ElizaOS v našich aplikacích
  • Service worker a push notifikace
Mimo rozsah
  • Služby třetích stran (Stripe, Supabase, NOWPayments) — nahlas přímo poskytovateli
  • Social engineering útoky na zaměstnance nebo uživatele
  • Denial-of-service proti produkci (prosím netestuj nás zátěžově)
  • Fyzické útoky nebo cokoli, co porušuje platné zákony
  • Chybějící best-practice hlavičky bez prokazatelného dopadu

Safe harbor

Pokud se této politiky držíš v dobré víře — žádné exfiltrace dat, žádné převzetí cizích účtů, žádné narušování provozu — nebudeme proti tobě vést právní kroky. Testuj jen na účtech, které ovládáš, skonči hned jakmile potvrdíš dopad a nikdy nesahej na data, která ti nepatří.

Odměny

Aktuálně provozujeme reputační program, ne placené bounty. Smysluplné reporty veřejně oceníme (s tvým souhlasem) a dostanou přednostní zpracování. U kritických zranitelností si vyhrazujeme právo nabídnout finanční odměnu dle vlastního uvážení.


Poslední aktualizace: červenec 2026