Polityka Bezpieczeństwa

Ostatnia aktualizacja: kwiecień 2025



W SavePorn bezpieczeństwo naszej Usługi oraz danych naszych użytkowników jest najwyższym priorytetem. Niniejsza polityka opisuje nasze praktyki bezpieczeństwa, sposób zgłaszania podatności oraz czego można oczekiwać po ich zgłoszeniu.

1. Zgłaszanie podatności bezpieczeństwa

Jeśli odkryjesz podatność bezpieczeństwa w SavePorn, prosimy o jej odpowiedzialne zgłoszenie. Prosimy o przesłanie szczegółów na adres:

[email protected]

Podczas zgłaszania prosimy o podanie:

  • Opisu podatności i jej potencjalnego wpływu.
  • Kroków do odtworzenia problemu, w tym odpowiednich adresów URL, parametrów lub ładunków.
  • Typu podatności (np. XSS, SQL injection, obejście uwierzytelniania, ujawnienie danych).
  • Zrzutów ekranu, logów lub kodu proof-of-concept demonstrujących problem.

2. Odpowiedzialne ujawnienie

Uprzejmie prosimy o:

  • Nieujawnianie publicznie podatności, dopóki nie będziemy mieli rozsądnej możliwości jej naprawienia.
  • Niedostępowanie do danych innych użytkowników, ich modyfikowanie ani usuwanie w ramach badań.
  • Niepodejmowanie działań mogących pogorszyć jakość Usługi dla innych użytkowników (np. ataków typu denial-of-service, prób brute-force na dużą skalę).
  • Podejmowanie w dobrej wierze wysiłków w celu uniknięcia naruszenia prywatności innych osób.

Nie będziemy podejmować działań prawnych przeciwko osobom, które odkryją i zgłoszą podatności zgodnie z niniejszą polityką.

3. Nasza odpowiedź

Po zgłoszeniu podatności możesz oczekiwać:

  • Potwierdzenia otrzymania zgłoszenia w ciągu 48 godzin.
  • Wstępnej oceny problemu w ciągu 5 dni roboczych.
  • Regularnych aktualizacji dotyczących postępów w rozwiązywaniu problemu.
  • Uznania (jeśli tego sobie życzysz) w jakimkolwiek publicznym ogłoszeniu dotyczącym podatności po jej naprawieniu.

4. Zakres

Następujące elementy mieszczą się w zakresie zgłoszeń bezpieczeństwa:

  • Aplikacja internetowa SavePorn pod adresem save.porn.
  • API SavePorn.
  • Uwierzytelnianie i zarządzanie sesjami.
  • Przepływy przetwarzania płatności.
  • Rozszerzenia przeglądarki i aplikacje natywne publikowane przez SavePorn.

Następujące elementy nie mieszczą się w zakresie:

  • Usługi osób trzecich, z którymi się integrujemy (dostawcy poczty e-mail, sieci blockchain).
  • Ataki socjotechniczne skierowane przeciwko pracownikom lub użytkownikom SavePorn.
  • Ataki fizyczne na infrastrukturę SavePorn.
  • Podatności w oprogramowaniu lub systemach, które nie są własnością ani nie są obsługiwane przez SavePorn.

5. Praktyki bezpieczeństwa

SavePorn stosuje następujące środki bezpieczeństwa w celu ochrony danych użytkowników:

  • Szyfrowanie podczas przesyłu: Wszystkie połączenia wykorzystują TLS. Nieszyfrowane żądania HTTP są przekierowywane na HTTPS.
  • Uwierzytelnianie: Używamy kodów magicznych z ograniczeniem czasowym wysyłanych e-mailem — nie przechowujemy haseł. Sesje używają plików cookie httpOnly, Secure, SameSite=Lax.
  • Kontrola dostępu: Wszystkie punkty końcowe API uzyskujące dostęp do danych użytkowników wymagają uwierzytelnienia. Użytkownicy mogą uzyskać dostęp wyłącznie do własnych danych.
  • Ograniczanie szybkości: Punkty końcowe API mają ograniczenia szybkości w celu zapobiegania nadużyciom.
  • Brak śledzenia: Nie używamy analityki, trackerów reklamowych ani fingerprintingu. Szczegóły znajdują się w naszej Polityce Prywatności.
  • Minimalne gromadzenie danych: Gromadzimy wyłącznie dane niezbędne do świadczenia Usługi.

6. security.txt

Zgodnie z RFC 9116 publikujemy plik security.txt pod adresem /.well-known/security.txt zawierający nasze dane kontaktowe dotyczące bezpieczeństwa oraz adres URL niniejszej polityki.

7. Kontakt

W przypadku wszystkich spraw związanych z bezpieczeństwem prosimy o kontakt pod adresem:

[email protected]