Mums svarbu užtikrinti galiuzvejoti.org sistemos ir duomenų saugumą. Skatiname atsakingą požiūrį į saugumo tyrimus ir kviečiame pranešti apie bet kokius pastebėtus pažeidžiamumus.
Jei esate saugumo tyrėjas ir radote pažeidžiamumą, laikykitės toliau nurodytų taisyklių, kad padėtumėte mums užtikrinti sistemų vientisumą.

*Atsakingas testavimas nepažeidžiančios veiklos ribose.
*Tik savo paskyros naudojimas (jei reikia prisijungti).
*Nedestruktyvus testavimas, kuris nedaro žalos sistemai.

*DDoS atakos, brute-force bandymai, spam’as, socialinė inžinerija.
*Trečiųjų šalių sistemų atakos, partnerių ar klientų duomenų rinkimas.
*Duomenų pakeitimai be leidimo.
*Bandymas išnaudoti spragą, užuot pranešus apie ją.
*Duomenų atskleidimas kol problema nėra išspręsta.

Siųskite el. laišką į security@galiuzvejoti.org, nurodydami:
1. Problemos aprašymą su techninėmis detalėmis.
2. Kaip atkurti spragą (jei įmanoma, pateikite pavyzdį).
3. Galimas pasekmes ir rekomenduojamą sprendimą.
4. Jūsų kontaktinius duomenis (jei norite atsiliepimo).

*Atsiliepsime per 5 darbo dienas.
*Išanalizuosime problemą ir pranešime apie sprendimą.

Jei problema bus pripažinta kritine, galime paskatinti jus simboline dovana ar oficialia padėka.

Saugumo tyrėjams galime pasiūlyti vietą „Hall of Fame” puslapyje.

Įtraukiamos sistemos ir funkcijos
*Svetainė 
*Autentifikacijos mechanizmai
*API paslaugos
Neįtraukiamos sistemos
*Trečiųjų šalių paslaugos (pvz., mokėjimų operatoriai)
*DDoS testavimas
*Fizinė infrastruktūra

Mūsų saugumo politika atitinka svarbiausius Europos Sąjungos kibernetinio saugumo ir duomenų apsaugos reikalavimus:
1. GDPR (Bendrasis duomenų apsaugos reglamentas) – Jei rasta spraga gali turėti įtakos asmens duomenims, apie ją pranešime Lietuvos Valstybinei duomenų apsaugos inspekcijai.
2. NIS2 direktyva – Sekame ES kibernetinio saugumo reikalavimus ir, jei reikėtų, bendradarbiautume su nacionalinėmis institucijomis.
3. Nacionalinis Kibernetinio Saugumo Centras – Jei spraga yra didelės reikšmės, gali būti reikalingas bendradarbiavimas su Lietuvos CERT institucija (https://nksc.lt)

*Mes pasiliekame teisę imtis teisinių veiksmų prieš asmenis, kurie pažeidžia šios saugumo politikos taisykles.

*Bet kokie piktnaudžiavimo atvejai bus traktuojami kaip neteisėta veikla, ir tokie incidentai bus pranešti teisėsaugos institucijoms.

*Saugumo tyrėjai neturėtų viešai skelbti apie rastą pažeidžiamumą, kol jis nėra visiškai ištaisytas.
*Jei saugumo tyrėjas nori paskelbti analizę ar ataskaitą apie rasto pažeidžiamumo sprendimą, prieš tai jis turi gauti oficialų mūsų patvirtinimą.

*Nors tai nėra Bug Bounty programa, vertiname tyrėjų indėlį į mūsų saugumą.
*Už kritines spragas gali būti suteikta oficiali padėka arba tyrėjas gali būti įtrauktas į „Hall of Fame”.
*Esant išskirtiniams atvejams, gali būti svarstomas simbolinis finansinis apdovanojimas