Tyto podmínky popisují základní pravidla spolupráce při poskytování služeb TMPT Security.
TMPT Security je odborná značka, pod kterou Martin Jedlinský poskytuje služby zaměřené na praktickou bezpečnost webových aplikací. Provozovatel služby: Martin Jedlinský IČO: 22026550 Sídlo: Korejská 2068/21, Žabovřesky, 616 00 Brno Zapsán v živnostenském rejstříku Komunikace probíhá primárně prostřednictvím kontaktního formuláře na webu nebo jiným individuálně domluveným kanálem.
TMPT Security poskytuje cílené ruční bezpečnostní review webových aplikací, zejména v oblastech Access Control, IDOR, authentication, session management, API security a business logic. Služba není neomezeným penetračním testem celé aplikace. Jde o cílené bezpečnostní review předem domluveného rozsahu.
Konkrétní rozsah služby se vždy potvrzuje před zahájením testování. Rozsah může zahrnovat zejména:
Bez předchozí domluvy se testování nerozšiřuje mimo potvrzený rozsah. Pokud se během mapování ukáže, že aplikace je rozsáhlejší nebo složitější, než odpovídá domluvenému rozsahu, může být navrženo zúžení na nejrizikovější části, rozdělení do více fází nebo individuální rozšíření spolupráce.
Podle domluveného rozsahu může služba zahrnovat zejména:
Pokud není výslovně domluveno jinak, služba nezahrnuje:
Klient je povinen poskytnout pravdivé a úplné informace potřebné pro bezpečné provedení služby. Klient zejména potvrzuje, že:
Testování probíhá pouze na základě výslovného souhlasu klienta a v předem potvrzeném rozsahu. Klient odpovídá za to, že je oprávněn povolit testování dané aplikace, systému, prostředí, účtů a dat. Pokud by se ukázalo, že klient nemá potřebné oprávnění, může být spolupráce odmítnuta, pozastavena nebo ukončena.
Preferované je testování ve staging nebo testovacím prostředí s realistickými testovacími daty. Testování produkčního prostředí je možné pouze tehdy, pokud je to výslovně domluveno a bezpečně ohraničeno. Při testování se neprovádějí záměrné destruktivní akce, DoS útoky ani jiné aktivity, které nejsou součástí domluveného rozsahu.
Cena se určuje individuálně podle rozsahu, velikosti aplikace, počtu rolí, počtu funkcí, počtu endpointů, složitosti oprávnění a požadované formy výstupu. Finální cena se vždy potvrzuje před zahájením testování. Pokud není domluveno jinak, fakturace probíhá na základě potvrzené objednávky nebo individuální dohody.
Výstupem služby může být podle domluveného rozsahu zejména:
Forma a hloubka výstupu závisí na domluveném rozsahu služby.
Cílem služby je dodat praktický a srozumitelný výstup, podle kterého se dá rozhodnout a opravit konkrétní problém. Pokud výstup nebude dostatečně srozumitelný nebo prakticky použitelný, může být doplněn nebo upřesněn bez příplatku. Tato garance se vztahuje na srozumitelnost a praktickou použitelnost výstupu. Nevztahuje se na garanci nalezení zranitelnosti, garanci nalezení všech zranitelností ani na garanci úplného zabezpečení aplikace.
Fix Verification slouží k ověření, zda byly dříve nahlášené problémy opraveny. Fix Verification není automaticky součástí základní ceny, pokud není výslovně domluveno jinak. Rozsah ověření oprav se potvrzuje individuálně.
Informace získané během spolupráce jsou považovány za důvěrné. Bez souhlasu klienta nejsou zveřejňovány detaily nálezů, interní informace, testovací účty, technické informace o aplikaci ani jiné neveřejné informace získané během spolupráce.
Služba je poskytována podle předem domluveného rozsahu a časového rámce. Bezpečnostní review snižuje riziko, ale nemůže garantovat úplné zabezpečení aplikace ani nalezení všech zranitelností. TMPT Security neposkytuje garanci, že aplikace je po provedení služby zcela bezpečná.
Zpracování osobních údajů je popsáno v dokumentu Zásady ochrany osobních údajů. Do kontaktního formuláře ani úvodní komunikace by neměly být vkládány citlivé údaje, hesla, tokeny, produkční přístupy ani osobní údaje třetích osob, pokud to nebylo předem výslovně domluveno bezpečným kanálem.
Tyto podmínky se mohou v čase měnit. Pro konkrétní zakázku mohou být sjednány individuální podmínky, které mají přednost před obecnými informacemi uvedenými na webu.
Tyto podmínky se mohou v čase měnit. Pro konkrétní zakázku mohou být sjednány individuální podmínky, které mají přednost před obecnými informacemi uvedenými na webu.
