Bezpečnostní zásady

Poslední aktualizace: duben 2025



V SavePorn je bezpečnost naší Služby a dat našich uživatelů nejvyšší prioritou. Tyto zásady popisují naše bezpečnostní postupy, způsob hlášení zranitelností a co můžete očekávat, když tak učiníte.

1. Hlášení bezpečnostních zranitelností

Pokud objevíte bezpečnostní zranitelnost v SavePorn, žádáme vás, abyste nám ji zodpovědně nahlásili. Podrobnosti prosím zašlete na:

[email protected]

Při hlášení prosím uveďte:

  • Popis zranitelnosti a jejího potenciálního dopadu.
  • Kroky k reprodukci problému, včetně relevantních URL adres, parametrů nebo payloadů.
  • Typ zranitelnosti (např. XSS, SQL injection, obejití ověřování, únik dat).
  • Jakékoli snímky obrazovky, logy nebo proof-of-concept kód, který problém demonstruje.

2. Zodpovědné zveřejňování

Laskavě vás žádáme, abyste:

  • Nezveřejňovali zranitelnost, dokud jsme neměli přiměřenou příležitost ji řešit.
  • Nepřistupovali k datům jiných uživatelů, neupravovali je ani nemazali v rámci svého výzkumu.
  • Neprováděli akce, které by mohly snížit kvalitu Služby pro ostatní uživatele (např. útoky typu denial-of-service, hromadné pokusy o brute-force).
  • Vynaložili maximální úsilí, abyste neporušovali soukromí ostatních.

Nebudeme podnikat právní kroky proti osobám, které objeví a nahlásí zranitelnosti v souladu s těmito zásadami.

3. Naše reakce

Když nahlásíte zranitelnost, můžete očekávat:

  • Potvrzení do 48 hodin od vašeho hlášení.
  • Úvodní posouzení problému do 5 pracovních dnů.
  • Pravidelné aktualizace o našem postupu při řešení problému.
  • Uznání (pokud si přejete) v jakémkoli veřejném oznámení o zranitelnosti po jejím vyřešení.

4. Rozsah

Následující je v rozsahu bezpečnostních hlášení:

  • Webová aplikace SavePorn na save.porn.
  • API SavePorn.
  • Ověřování a správa relací.
  • Procesy zpracování plateb.
  • Rozšíření prohlížeče a nativní aplikace publikované SavePorn.

Následující je mimo rozsah:

  • Služby třetích stran, se kterými se integrujeme (poskytovatelé e-mailů, blockchainové sítě).
  • Útoky sociálním inženýrstvím proti zaměstnancům nebo uživatelům SavePorn.
  • Fyzické útoky na infrastrukturu SavePorn.
  • Zranitelnosti v softwaru nebo systémech, které SavePorn nevlastní ani neprovozuje.

5. Bezpečnostní postupy

SavePorn používá následující bezpečnostní opatření k ochraně dat uživatelů:

  • Šifrování při přenosu: Všechna připojení používají TLS. Nešifrované HTTP požadavky jsou přesměrovány na HTTPS.
  • Ověřování: Používáme časově omezené magické kódy zasílané e-mailem — žádná hesla se neukládají. Relace používají httpOnly, Secure, SameSite=Lax cookies.
  • Řízení přístupu: Všechny koncové body API, které přistupují k datům uživatelů, vyžadují ověření. Uživatelé mají přístup pouze ke svým vlastním datům.
  • Omezování rychlosti: Koncové body API jsou rychlostně omezeny, aby se zabránilo zneužívání.
  • Žádné sledování: Nepoužíváme analytiku, reklamní sledovací nástroje ani fingerprinting. Podrobnosti naleznete v našich Zásadách ochrany osobních údajů.
  • Minimální sběr dat: Shromažďujeme pouze data nezbytná pro provozování Služby.

6. security.txt

V souladu s RFC 9116 publikujeme soubor security.txt na adrese /.well-known/security.txt obsahující naše bezpečnostní kontaktní informace a URL těchto zásad.

7. Kontakt

Pro všechny záležitosti týkající se bezpečnosti nás kontaktujte na:

[email protected]