Securitate

Politică de raportare a vulnerabilităților

Ultima actualizare: 05.05.2026

CYBERSKILL SRL (denumit „Organizatorul”) tratează cu seriozitate securitatea www.theaiminds.ro. Această pagină descrie cum poți raporta responsabil o vulnerabilitate și la ce te poți aștepta de la noi.

1. Cum raportezi

  • Trimite email la contact@theaiminds.ro cu prefix subiect [SECURITY].
  • Include: URL-ul / endpoint-ul afectat, pași clari de reproducere (request/response, payload), comportament așteptat vs. observat, și impactul estimat.
  • Dacă raportul conține date sensibile, folosește cheia noastră PGP (vezi câmpul Encryption din /.well-known/security.txt). Momentan e opțional; răspundem în clar dacă nu e furnizată.
  • Nu deschide issue-uri publice pe GitHub, thread-uri pe social media sau notificări către presă înainte să apucăm să răspundem.

2. Scope

Următoarele active sunt în scope:

  • theaiminds.ro, www.theaiminds.ro și orice subdomeniu administrat direct de Organizator.
  • Flow-ul de cumpărare bilete, autentificarea panoului de administrare, endpoint-ul de webhook Stripe, scannerul și endpoint-urile de check-in.
  • Flow-ul de confirmare email (linkuri, token-uri, dezabonare).

Următoarele sunt în afara scope-ului:

  • Servicii terțe integrate (Stripe, Google Workspace SMTP, Cloudflare). Raportează direct la furnizor.
  • Probleme care necesită acces fizic, inginerie socială asupra staff-ului sau voluntarilor, ori furtul credențialelor participanților.
  • Atacuri de tip denial-of-service, volumetrice sau flooding.
  • Raporturi bazate doar pe headere best-practice lipsă, version disclosure, sau output de scaner fără impact demonstrat.
  • Self-XSS, clickjacking pe pagini fără acțiuni sensibile, flaguri lipsă pe cookie-uri ne-de-autentificare.
  • Probleme reproductibile doar pe browsere depășite (>2 versiuni în urmă față de stabilul curent).

3. Safe harbor

Dacă acționezi cu bună-credință și respecți această politică, Organizatorul:

  • Nu va iniția sau susține acțiuni juridice împotriva ta.
  • Va trata raportul tău ca testare autorizată conform Legii 161/2003 art. 42 și a cadrului european NIS2, în măsura permisă de lege.
  • Va colabora cu tine pentru divulgare coordonată.

Bună-credință înseamnă: testezi doar pe conturi proprii, nu exfiltrezi date dincolo de minimul necesar dovedirii problemei, nu faci pivoting sau persistence, nu modifici sau distrugi date, nu afectezi alți utilizatori.

4. Calendar de divulgare

  • Confirmare primire: în maximum 5 zile lucrătoare.
  • Triere / decizie severitate: în maximum 10 zile lucrătoare.
  • Remediere sau mitigare: Critical — 7 zile, High — 30 zile, Medium — 60 zile, Low — 90 zile. Best-effort, se poate extinde de comun acord.
  • Divulgare publică: coordonată, în general la 90 de zile de la raport sau la momentul fix-ului — oricare vine prima. Mai devreme dacă suntem de acord.

5. Recunoaștere

Pentru raporturi valide, în scope, mulțumim public raportorului pe această pagină (cu acord), dacă nu preferi anonimat. Momentan nu există recompensă monetară; e un program de divulgare coordonată.

6. Hall of fame

Nicio raportare încă. Fii primul.

7. Payloaduri respinse out-of-scope

  • Output automat de scaner fără validare manuală.
  • Probleme SPF/DKIM/DMARC pe alias-uri ne-folosite pentru trafic outbound.
  • Open-redirect pe endpoint-ul de locale switch când target-ul e restricționat la ro|en.
  • Vulnerabilități în cgi-bin/ default livrat de host-ul cPanel (în afara controlului nostru — raportează la host).

8. Contact

Email: contact@theaiminds.ro · Limbi preferate: ro, en

Acest document este Policy: referit în /.well-known/security.txt.