Biztonsági politika

Felelős sebezhetőség-bejelentés és bug bounty

Verzió 2.0 · Hatályos: 2026. május 13-tól

Komolyan vesszük a biztonságot. Ha sebezhetőséget találtál a Replyo szolgáltatásban, jelezd nekünk felelősen — köszönjük! Az alábbi politika leírja, hogyan tudsz bejelenteni, mire számíthatsz, és milyen elismerés vár rád.

Tartalom

Hogyan jelezz
Gyors bejelentő űrlap
Válaszidők (SLA)
Hatókör
Súlyossági besorolás
Bug bounty és elismerés
Safe harbor
Hall of Fame

1. Hogyan jelezz

Három csatorna közül választhatsz, prioritási sorrendben:

Az alábbi űrlap (lent, "Gyors bejelentő"). End-to-end TLS, közvetlenül a backend-be megy, nem szerkeszthető, audit-loggal rögzítve.
Email: security@replyo.hu. Ha érzékeny részletek vannak benne, használhatod a lenti PGP kulcsot is.
Sürgős / kritikus eset: ha valós aktív támadást észlelsz, hívd +36 70 555 1212 (munkanapokon), egyébként email-en jelezd "URGENT" prefix-szel.

A bejelentésnek tartalmaznia kell:

A sebezhetőség pontos leírása (mit, hol, hogyan).
Reprodukálási lépések — parancsok, URL-ek, payload-ok, képernyőképek.
Becsült hatás — kit érint, mekkora kár lehet.
Opcionálisan: javítási javaslat.
Opcionálisan: nyilvános elismerés-igény (név, link).

2. Gyors bejelentő űrlap

Az alábbi űrlap TLS-en keresztül közvetlenül a backend-re küldi a bejelentésed. Mode 0600 fájlba kerül, a security@replyo.hu email-címre is megy értesítés.

Email — hogy tudjunk visszajelezni

Soha nem osztjuk meg harmadik féllel. Csak a bejelentés ügyintézésére használjuk.

Név vagy handle (opcionális — Hall of Fame elismeréshez)

Becsült súlyosság

Érintett komponens / URL

A probléma egy mondatban

Részletes leírás + reprodukciós lépések

Max. 8000 karakter. Ne küldj titkos kódot / kulcsot ami nem a Replyo-é.

PGP-titkosított payload (opcionális — ha érzékeny részleteket küldenél)

A nyilvános kulcsunk a security@replyo.hu címen kérhető, vagy nézd meg a security.txt-t.

Beleegyezem, hogy a fix után a Hall of Fame-ben szerepeltesd (a megadott handle-lel).

3. Válaszidők (SLA)

Visszaigazolás: 48 órán belül

Első érdemi válasz: 5 munkanapon belül

Kritikus javítás: 7 napon belül

Egyéb javítás: 30 napon belül

Nyilvános elismerés: a fix-deploy után, beleegyezéseddel

Privát fix előtti elismerés: CVE-szerű azonosítóval, ha kéred

4. Hatókör

Bent van a hatókörben:

replyo.hu, api.replyo.hu, admin.replyo.hu, billing.replyo.hu
staging.*.replyo.hu (basic-auth gated; auth fals küldés is jelezhető)
A widget.js kliens, ami az ügyfél weboldalán fut
Minden /api/* végpont
OTP, session-kezelés, CSRF tokenek, HMAC-aláírások
SimplePay IPN, Billingo integráció (a Replyo oldalán; a SimplePay / Billingo saját rendszereit nem)
Tenant-szigetelés, prompt-injection védelem
Backup / restore folyamat

NINCS benne a hatókörben:

Social engineering munkatársak / ügyfelek ellen
Fizikai támadások
Volumetric DDoS — már része a fenyegetésmodellnek, elismerést nem ad
Self-XSS, vagy fizikai eszközhozzáférést igénylő támadások
Brute-force a publikus auth endpoint-okon (van rate-limit)
Az ügyfél által konfigurálható tartalmak triviális hibái (pl. a customer maga tett be rossz KB-t)
Egyezőség nélküli scanner output (Burp, Nessus eredménylista magyarázat nélkül)
SimplePay / Billingo / Rackhost / OpenAI / Anthropic saját infrastruktúrája — jelezd nekik közvetlenül

5. Súlyossági besorolás

Szint	Példa	SLA
KRITIKUS	RCE, teljes adatkiszivárgás, fizetési bypass, jogosultságemelés	7 nap fix
MAGAS	Cross-tenant adatkilátás, jelszó-bypass, persistent XSS admin felületen, számlatampering	14 nap fix
KÖZEPES	CSRF, információ-szivárgás, rate-limit kerülés, prompt-injection KB-kiszivárogtatással	30 nap fix
ALACSONY	Reflected XSS publikus oldalon, clickjacking, információ-szivárgás header-eken	60 nap fix

6. Bug bounty és elismerés

Pénzbeli díjazást egyelőre nem tudunk biztosítani — a Replyo kicsi vállalkozás. Helyette az alábbi elismerési formákat ajánljuk fel:

Súlyosság	Elismerés
KRITIKUS	Hall of Fame top (handle + link), publikus köszönő blogposzt, 1 év Replyo PRO ingyen az általad ajánlott domainre, opcionális ajánlólevél (LinkedIn, CV)
MAGAS	Hall of Fame (handle + link), 6 hónap Replyo PRO ingyen, blogpost-említés
KÖZEPES	Hall of Fame, 3 hónap Replyo PRO ingyen, swag (póló) — ha küldési címet adsz
ALACSONY	Hall of Fame, swag

Ha a vállalkozás növekszik, ezt a táblát frissítjük pénzbeli jutalmakkal — a jelenlegi vállalás: minden bejelentő 1 hónapos haladékot kap a Hall of Fame elismerésre azt követően, hogy bevezetjük a pénzdíjazást.

Duplikáció kezelés: az első érkező érvényes bejelentés kapja az elismerést. Második bejelentő külön köszönetet kap, de az SLA / jutalom az elsőé.

7. Safe harbor — mit ígérünk neked

Ha a fenti irányelvek szerint járás el, vállaljuk:

Nem indítunk eljárást ellened (sem civil, sem büntető) a tisztességes kutatásért.
Nem hívjuk fel a hatóságot a teszt-tevékenységed miatt.
Aktívan közreműködünk veled a vizsgálat során.
Beleegyezésed esetén nyilvánosan elismerünk, és — kérésedre — kiállítunk egy ajánlólevelet.

Cserébe kérünk, hogy:

Ne tedd közzé a sebezhetőséget mielőtt javítjuk (90 napos coordinated disclosure ablak).
Ne használd ki a hibát az ügyfelek vagy adatok károsítására.
Ne futtass szolgáltatáskiesést okozó terheléses tesztet (kérdezz előbb).
A saját adataidat / a saját Replyo tenant-jeidet teszteld — ne más ügyfelekét.
Ha véletlenül kifelé hozható adatot látsz, ne tárold, ne másold, jelezd azonnal.

8. Hall of Fame

Köszönet azoknak, akik felelősen jelezték a hibákat és hozzájárultak a Replyo biztonságához:

(Egyelőre üres — légy te az első!)

Olvasd el a security.txt gépi formátumot is — RFC 9116 szabványnak megfelelően. Kapcsolódó: DPA · DPIA · SCC · Adatvédelem.