Polityka zgłaszania podatności

Systemy objęte polityką

Polityka obejmuje serwis QuizBase pod adresem quizbase.runriva.com, publiczne API /api/v1/*, serwer MCP /mcp, witrynę dokumentacji /docs oraz zasoby serwowane z tych origin. Repozytoria źródłowe na GitHub (maciejdzierzek/quizbase, maciejdzierzek/quizbase-sdk-ts, maciejdzierzek/quizbase-dumps-byasa) są również w zakresie, gdy zgłaszasz podatność w kodzie lub release.

Poza zakresem

• Usługi trzecich stron, z których korzystamy (Stripe, Cloudflare, Railway, Backblaze B2, Resend, Sentry, paczki npm, sam GitHub). Podatności w tych usługach zgłaszaj bezpośrednio ich dostawcom.
• Inne domeny Macieja Dzierżka nie wymienione w "Systemy objęte polityką" — w szczególności maciejdzierzek.com, runriva.com oraz app.runriva.com.

Nasze zobowiązania

• Odpowiemy szybko na Twoje zgłoszenie (cel: wstępne potwierdzenie w ciągu 3 dni roboczych) i będziemy współpracować nad zrozumieniem i potwierdzeniem problemu.
• Będziemy Cię informować o postępach w trakcie przetwarzania podatności.
• Będziemy pracować nad usunięciem wykrytych podatności w rozsądnym czasie, w ramach naszych ograniczeń operacyjnych.
• Udzielamy "bezpiecznej przystani" (safe harbor) dla badań prowadzonych zgodnie z tą polityką (patrz sekcja niżej).

Czego od Ciebie oczekujemy

• Graj fair — stosuj się do tej polityki i innych właściwych umów. W razie sprzeczności między tą polityką a innymi warunkami, dla badań bezpieczeństwa pierwszeństwo ma ta polityka.
• Zgłaszaj odkryte podatności bez zbędnej zwłoki.
• Nie naruszaj prywatności innych osób, nie destabilizuj naszych systemów, nie niszcz danych ani nie pogarszaj doświadczenia użytkowników.
• Komunikuj się z nami tylko kanałami oficjalnymi opisanymi niżej.
• Daj nam rozsądny czas (minimum 90 dni od pierwszego zgłoszenia) na rozwiązanie problemu przed publicznym ujawnieniem. Współpracujemy nad uzgodnionym harmonogramem disclosure.
• Testuj wyłącznie systemy objęte polityką i respektuj aktywności poza zakresem.
• Jeśli podatność daje nieautoryzowany dostęp do danych: ogranicz dostęp do minimum potrzebnego do Proof of Concept; zakończ testowanie i zgłoś niezwłocznie jeśli natrafisz na dane użytkowników (PII, dane płatnicze, dane chronione tajemnicą).
• Nie angażuj się w wymuszenia, groźby ani komunikację która warunkuje naprawę od zapłaty poza tą polityką.

Kanały oficjalne

Zgłoszenia bezpieczeństwa wysyłaj mailem na adres maciej.dzierzek@gmail.com z prefiksem tematu [SECURITY]. Im więcej szczegółów (kroki reprodukcji, dotknięte endpointy, wpływ, proof of concept), tym łatwiej nam ztriaging i naprawić.

Wskaźnik machine-readable zgodny z RFC 9116 jest publikowany na /.well-known/security.txt.

Safe harbor (bezpieczna przystań)

Badania podatności prowadzone zgodnie z tą polityką traktujemy jako:

• Autoryzowane w świetle obowiązujących przepisów antyhackingowych — nie będziemy inicjować ani wspierać postępowań prawnych za przypadkowe, dobrowolne naruszenia tej polityki.
• Autoryzowane w świetle przepisów anty-obejściowych — nie wniesiemy roszczeń o obejście zabezpieczeń technicznych.
• Wyjęte spod ograniczeń naszego Regulaminu, które kolidowałyby z badaniami bezpieczeństwa — zawieszamy te ograniczenia w ograniczonym zakresie dla badań zgodnych z polityką.
• Zgodne z prawem, pomocne dla ogólnego bezpieczeństwa internetu i prowadzone w dobrej wierze.

Oczywiście oczekujemy, że będziesz przestrzegać obowiązujących przepisów. Jeśli strona trzecia podejmie działania prawne wobec Ciebie, a Ty postępowałeś zgodnie z tą polityką, podejmiemy kroki by wskazać, że Twoje działania były zgodne z naszą polityką.

Uwaga: safe harbor obowiązuje wyłącznie w zakresie roszczeń pod kontrolą QuizBase. Nie wiąże niezależnych stron trzecich.

Ostatnia aktualizacja

2026-05-11. Polityka jest przeglądana kwartalnie. Pole Expires w /.well-known/security.txt śledzi datę kolejnego obowiązkowego przeglądu.