Перейти до вмісту
Безпека

Політика безпеки

Відповідальне розкриття, обробка вразливостей і наша відданість безпеці ваших даних.

Останнє оновлення: травень 2026

01 Політика відповідального розкриття

InfoPeak цінує спільноту дослідників безпеки та вітає відповідальне повідомлення про вразливості. Якщо ви виявите проблему безпеки в будь-якому сервісі InfoPeak, просимо повідомити нас.

Повідомити про вразливість

security@infopeak.io

Для чутливих повідомлень запитайте наш публічний ключ PGP.

02 Обсяг

Наступні сервіси та активи входять до сфери відповідального розкриття:

  • infopeak.io - основний застосунок і вебсайт
  • auth.infopeak.io - сервіс автентифікації
  • InfoPeak Pass - розширення браузера
  • InfoPeak VPN - мобільні та настільні застосунки

03 Настанови щодо повідомлення

Просимо дослідників безпеки дотримуватися цих настанов:

  • Надайте достатньо деталей для відтворення вразливості.
  • Не отримуйте доступ до даних інших користувачів, не змінюйте та не видаляйте їх.
  • Не здійснюйте атаки типу «відмова в обслуговуванні» та соціальну інженерію.
  • Надайте нам розумний термін (90 днів) для усунення проблеми перед публічним розкриттям.

04 Терміни відповіді

72 години

Ми підтверджуємо отримання вашого звіту.

14 днів

Надаємо початкову оцінку та очікуваний графік усунення.

90 днів

Ми прагнемо усунути всі підтверджені вразливості протягом цього періоду.

05 Safe Harbor

InfoPeak не вживатиме правових заходів проти дослідників безпеки, які добросовісно виявляють і повідомляють про вразливості відповідно до цієї політики. Ми вважаємо дослідження безпеки за цією політикою дозволеним і не ініціюємо правові претензії за обхід технологічних заходів, якщо дослідження відповідає цій політиці.

06 Реагування на інциденти та повідомлення про порушення

У разі інциденту безпеки або порушення даних InfoPeak дотримується цих процедур відповідно до Директиви NIS2 (ЄС) 2022/2555 та статей 33 і 34 GDPR:

  • Протягом 24 годин: Раннє попередження відповідному національному CSIRT (Computer Security Incident Response Team).
  • Протягом 72 годин: Повне повідомлення про інцидент наглядовому органу (GDPR) та CSIRT (NIS2), включно з оцінкою масштабу та заходами пом'якшення.
  • Без невиправданої затримки: Уражені користувачі будуть повідомлені електронною поштою з чіткою інформацією про характер порушення, уражені дані, вжиті заходи та рекомендовані дії.
  • Протягом 1 місяця: Подано фінальний звіт до відповідних органів з аналізом причин та превентивними заходами.

07 Архітектура безпеки

InfoPeak застосовує такі заходи безпеки в рамках нашої відданості Cyber Resilience Act (CRA):

  • Шифрування в спокої: AES-256-CBC для всіх збережених даних користувачів.
  • Шифрування під час передачі: TLS 1.3 для всіх з'єднань.
  • Архітектура zero-knowledge: Особисті ключі шифрування походять на стороні клієнта. InfoPeak не має доступу до вашого зашифрованого вмісту.
  • Лише хостинг в ЄС: Вся інфраструктура розташована в Європейському Союзі.
  • Регулярні оновлення безпеки: Залежності та інфраструктура постійно моніторяться та оновлюються.