Treci la conținut
Securitate

Politică de securitate

Divulgare responsabilă, gestionarea vulnerabilităților și angajamentul nostru față de securitatea datelor dvs.

Ultima actualizare: mai 2026

01 Politica de divulgare responsabilă

InfoPeak apreciază comunitatea de cercetare în securitate și salută divulgarea responsabilă a vulnerabilităților. Dacă descoperiți o problemă de securitate într-un serviciu InfoPeak, vă încurajăm să ne o raportați.

Raportați o vulnerabilitate

security@infopeak.io

Pentru divulgări sensibile, solicitați cheia noastră publică PGP.

02 Domeniu de aplicare

Următoarele servicii și active intră în domeniul divulgării responsabile:

  • infopeak.io - aplicația principală și site-ul
  • auth.infopeak.io - serviciu de autentificare
  • InfoPeak Pass - extensie de browser
  • InfoPeak VPN - aplicații mobile și desktop

03 Orientări pentru divulgare

Cerem cercetătorilor în securitate să respecte aceste orientări:

  • Furnizați detalii suficiente pentru a reproduce vulnerabilitatea.
  • Nu accesați, modificați sau ștergeți datele altor utilizatori.
  • Nu efectuați atacuri de tip denial-of-service sau inginerie socială.
  • Acordați-ne un termen rezonabil (90 de zile) pentru remediere înainte de divulgarea publică.

04 Termene de răspuns

72 de ore

Confirmăm primirea raportului dvs.

14 zile

Oferim o evaluare inițială și termenul estimat de remediere.

90 de zile

Ne propunem să remediem toate vulnerabilitățile confirmate în acest interval.

05 Safe Harbor

InfoPeak nu va iniția acțiuni legale împotriva cercetătorilor în securitate care descoperă și raportează vulnerabilități cu bună-credință, în conformitate cu această politică. Considerăm autorizată cercetarea în securitate desfășurată în baza acestei politici și nu vom iniția acțiuni legale pentru ocolirea măsurilor tehnologice atunci când cercetarea respectă această politică.

06 Răspuns la incidente și notificarea încălcărilor

În caz de incident de securitate sau încălcare a datelor, InfoPeak urmează aceste proceduri în conformitate cu Directiva NIS2 (UE) 2022/2555 și articolele 33 și 34 GDPR:

  • În 24 de ore: Avertizare timpurie către CSIRT-ul național competent (Computer Security Incident Response Team).
  • În 72 de ore: Notificare completă a incidentului către autoritatea de supraveghere (GDPR) și CSIRT (NIS2), inclusiv evaluarea domeniului și măsuri de atenuare.
  • Fără întârziere nejustificată: Utilizatorii afectați vor fi notificați prin e-mail cu informații clare despre natura încălcării, datele afectate, măsurile luate și acțiunile recomandate.
  • În 1 lună: Un raport final este depus la autoritățile competente cu analiza cauzei și măsuri preventive.

07 Arhitectură de securitate

InfoPeak aplică următoarele măsuri de securitate ca parte a angajamentului nostru față de Cyber Resilience Act (CRA):

  • Criptare în repaus: AES-256-CBC pentru toate datele utilizator stocate.
  • Criptare în tranzit: TLS 1.3 pentru toate conexiunile.
  • Arhitectură zero-knowledge: Cheile de criptare personale sunt derivate pe client. InfoPeak nu poate accesa conținutul dvs. criptat.
  • Găzduire doar în UE: Toată infrastructura se află în Uniunea Europeană.
  • Actualizări de securitate regulate: Dependențele și infrastructura sunt monitorizate și actualizate continuu.