Kebijakan Pengungkapan Kerentanan PT Honest Financial Technologies

Pendahuluan

PT Honest Financial Technologies menyambut masukan dari peneliti keamanan dan masyarakat umum untuk membantu meningkatkan keamanan kami. Jika Anda yakin telah menemukan kerentanan, masalah privasi, data yang terpapar, atau masalah keamanan lainnya pada salah satu aset kami, kami ingin mendengarnya dari Anda. Kebijakan ini menguraikan langkah-langkah untuk melaporkan kerentanan kepada kami, apa yang kami harapkan, apa yang dapat Anda harapkan dari kami.

Komitmen Kami

Saat bekerja sama dengan kami, menurut kebijakan ini, Anda dapat mengharapkan kami untuk:

  • Menanggapi laporan Anda dengan segera, dan bekerja sama dengan Anda untuk memahami dan memvalidasi laporan Anda;
  • Berusaha untuk memberi Anda informasi tentang kemajuan kerentanan saat diproses;
  • Bekerja untuk memulihkan kerentanan yang ditemukan secara tepat waktu, dalam batasan operasional kami; dan
  • Memperluas Safe Harbor untuk penelitian kerentanan Anda yang terkait dengan kebijakan ini.

Harapan Kami

Dalam berpartisipasi dalam program pengungkapan kerentanan kami dengan itikad baik, kami meminta Anda menaati aturan, termasuk mengikuti kebijakan ini dan perjanjian terkait lainnya. Jika ada ketidakcocokan antara kebijakan ini dan persyaratan lain yang berlaku, maka ketentuan kebijakan ini yang akan berlaku;

  • Laporkan kerentanan apa pun yang Anda temukan sesegera mungkin;
  • Hindari melanggar privasi orang lain, mengganggu sistem kami, menghancurkan data, dan/atau merusak pengalaman pengguna;
  • Hanya gunakan jalur resmi seperti yang dijelaskan di bawah ini untuk membahas informasi kerentanan dengan kami;
  • Beri kami waktu yang wajar (setidaknya 30 hari sejak laporan awal) untuk menyelesaikan masalah sebelum Anda mengungkapkannya secara publik;
  • Lakukan pengujian hanya pada sistem di dalam lingkup, dan hormati sistem dan kegiatan yang berada di luar cakupan;
  • Jika kerentanan mendatangkan akses yang tidak diinginkan ke data: Batasi jumlah data yang Anda akses seminim mungkin sejauh yang diperlukan untuk menunjukkan bukti konsep secara efektif; dan hentikan pengujian dan segera kirimkan laporan jika Anda menemukan data pengguna apa pun selama pengujian, seperti informasi identitas pribadi (PII), informasi perawatan kesehatan pribadi (PHI), data kartu kredit, atau informasi kepemilikan;
  • Anda hanya boleh berinteraksi dengan akun pengujian yang Anda miliki atau dengan izin eksplisit dari pemegang akun;
  • Sampaikan laporan terperinci dengan langkah-langkah yang dapat direproduksi. Jika laporan tidak cukup detil untuk mereproduksi masalah, masalah tersebut tidak akan memenuhi syarat untuk mendapatkan hadiah;
  • Kirimkan satu kerentanan per laporan, kecuali Anda perlu merangkai beberapa kerentanan untuk menjelaskan dampak;
  • Apabila ada penyampaian laporan duplikat, kami hanya memberikan hadiah atas laporan pertama yang diterima (asalkan dapat direproduksi sepenuhnya);
  • Beberapa kerentanan yang disebabkan oleh satu masalah mendasar akan diperhitungkan untuk diberikan satu hadiah;
  • Rekayasa sosial (misalnya, phishing, vishing, smishing) dilarang. Anda dilarang menghubungi pelanggan kami atas alasan apapun;
  • Jangan terlibat dalam pemerasan.

Kualitas Laporan

Semua laporan harus berisi deskripsi kerentanan yang jelas dan ringkas, dengan Langkah-langkah yang dapat direproduksi atau bukti pengujian (POC) yang berhasil. Anda harus menyertakan:

  • Informasi yang cukup untuk menjabarkan kerentanan dan dampaknya apabila kerentanan tersebut tereksploitasi.
  • Detil cara mereproduksi kerentanan.
  • Tangkapan layar dan/atau video menunjukkan eksploitasi kerentanan.
  • Catatan atau informasi lainnya yang terkait.

Anda harus menjadi pelapor pertama atas kerentanan yang ada dan dilarang menjabat karyawan atau mantan karyawan Honest atau salah satu mitranya.

Kelayakan dan Jumlah Hadiah

Laporan-laporan yang diverifikasi dan diterima oleh Honest, akan menerima hadiah uang. Hadiah tersebut akan diberikan melalui RedStorm sebagai mitra yang kami tunjuk. Jumlah hadiah didasarkan pada tingkat keparahan kerentanan, setelah dilakukan penilaian internal menggunakan Common Vulnerability Scoring System (CVSSv4).

Prioritas
Jumlah hadiah
P1
Rp20.000.000
P2
Rp7.500.000
P3
Rp5.000.000
P4
Rp1.000.000
P5
Rp0

Sistem dalam Lingkup

Kebijakan ini berlaku untuk aset digital apa pun yang dimiliki, dioperasikan, atau dikelola oleh PT Honest Financial Technologies, dan/atau perusahaan afiliasinya.

Di Luar Lingkup

Aset atau peralatan lain yang tidak dimiliki oleh pihak yang berpartisipasi dalam kebijakan ini.
Kerentanan yang ditemukan atau dicurigai dalam sistem di luar cakupan harus dilaporkan ke vendor yang sesuai atau otoritas yang berwenang.

Jalur Resmi

Silakan mendaftarkan dan melaporkan masalah keamanan melalui https://honest.co.id/vulnerability-disclosure-policy
Platform ini menyediakan cara yang aman dan efisien untuk menyampaikan laporan dan menerima hadiah untuk kerentanan yang valid. Berikan semua informasi yang relevan. Semakin banyak detil yang Anda berikan, semakin mudah bagi kami untuk melakukan triase dan memperbaiki masalah tersebut.

Safe Harbor

Saat melakukan penelitian kerentanan, menurut kebijakan ini, kami menganggap penelitian yang dilakukan berdasarkan kebijakan ini sebagai:

  • Diperbolehkan berdasarkan undang-undang anti-peretasan yang berlaku, dan kami tidak akan memulai atau mendukung tindakan hukum terhadap Anda atas pelanggaran kebijakan ini secara tidak sengaja dengan itikad baik;
  • Diperbolehkan berdasarkan undang-undang anti-pengelakan yang relevan, dan kami tidak akan mengajukan klaim terhadap Anda untuk pengelakan kontrol teknologi;
  • Dikecualikan dari pembatasan dalam Syarat dan Ketentuan (TOS) dan/atau Kebijakan Penggunaan yang Dapat Diterima (AUP) kami yang dapat mengganggu pelaksanaan penelitian keamanan, dan kami mengesampingkan pembatasan tersebut secara terbatas; dan
  • Sah, membantu keamanan Internet secara keseluruhan, dan dilakukan dengan itikad baik.

Anda selalu diharapkan untuk mematuhi semua hukum yang berlaku. Jika tindakan hukum dimulai oleh pihak ketiga terhadap Anda dan Anda telah mematuhi kebijakan ini, kami akan mengambil langkah-langkah untuk menyampaikan bahwa tindakan Anda dilakukan sesuai dengan kebijakan ini.

Bilamana Anda memiliki kekhawatiran atau tidak merasa jelas apakah penelitian keamanan Anda konsisten dengan kebijakan ini, kirimkan laporan melalui Jalur Resmi kami sebelum melangkah lebih jauh.

Mohon dicatat bahwa Safe Harbor hanya berlaku untuk klaim hukum di bawah kendali organisasi yang berpartisipasi dalam kebijakan ini, dan bahwa kebijakan ini tidak mengikat pihak ketiga yang independen.