############################################ # SECURITY POLICY – Česká pošta s.p. & Balíkovna ############################################ ============================================ ČESKY (CS) ============================================ Účel: Naším cílem je chránit uživatele a jejich data. Odpovědné hlášení zranitelností pomáhá zajistit bezpečnost a soukromí. Pokud objevíte závažnou zranitelnost, kontaktujte nás co nejdříve podle této politiky. Rozsah: Tato politika se vztahuje pouze na následující weby provozované Česká pošta s.p. a Balíkovna: online.postservis.cz has IP address 193.150.24.135 online2.postservis.cz has IP address 193.150.24.135 online.test.postservis.cz has IP address 193.150.24.135 www.postservis.cz has IP address 193.150.24.135 Ostatní weby, které využívají značku Česká pošta s.p. nebo Balíkovna, ale jsou provozovány externími dodavateli, nepodléhají této politice. Očekávání: - Potvrdíme přijetí vašeho hlášení a budeme s vámi spolupracovat na jeho ověření. - Zranitelnosti řešíme bez zbytečného odkladu. - Vaše jednání v dobré víře bude považováno za přínosné. Autorizace: Pokud budete postupovat v souladu s touto politikou: - Nepodnikneme právní kroky proti vám za jednání v dobré víře. - Vaše činnost bude považována za zákonnou a přínosnou. - Musíte dodržovat platné zákony a tuto politiku. Kontakt: Hlásení zasílejte na adresu uvedenou v souboru security.txt. Používejte PGP pro šifrovanou komunikaci. Pravidla: - Testujte pouze systémy v rozsahu této politiky. - Nezneužívejte zranitelnosti ani nezískávejte data. - Neprovádějte DoS útoky, sociální inženýrství, instalaci škodlivého kódu ani přístup k interním sítím. - Okamžitě přerušte test, pokud narazíte na citlivá data. Zakázané aktivity: - Neautorizované zveřejnění zranitelností. - Poškození systémů nebo dat. - Útoky na interní sítě, fyzický přístup. - DoS/DDoS, spam, phishing, sociální inženýrství. Mimo rozsah: - Fyzické testy (např. přístup do kanceláří). - Sociální inženýrství. - Chybějící bezpečnostní hlavičky, cookie flagy. - UI/UX chyby, překlepy. - Automatizované skeny bez kontextu. Právní rámec: Politika je v souladu s doporučenými postupy pro odpovědné hlášení zranitelností. Neopravňuje k jednání v rozporu se zákonem. ============================================ SLOVENSKY (SK) ============================================ Účel: Naším cieľom je chrániť používateľov a ich údaje. Zodpovedné nahlasovanie zraniteľností pomáha zabezpečiť bezpečnosť a súkromie. Ak objavíte závažnú zraniteľnosť, kontaktujte nás čo najskôr podľa tejto politiky. Rozsah: Táto politika sa vzťahuje iba na nasledujúce weby prevádzkované spoločnosťou Česká pošta s.p. a Balíkovna: online.postservis.cz has IP address 193.150.24.135 online2.postservis.cz has IP address 193.150.24.135 online.test.postservis.cz has IP address 193.150.24.135 www.postservis.cz has IP address 193.150.24.135 Ostatné weby, ktoré využívajú značku Česká pošta s.p. alebo Balíkovna, ale sú prevádzkované externými dodávateľmi, nepodliehajú tejto politike. Očakávania: - Potvrdíme prijatie vášho hlásenia a budeme s vami spolupracovať na jeho overení. - Zraniteľnosti riešime bez zbytočného odkladu. - Vaše konanie v dobrej viere bude považované za prínosné. Autorizácia: Ak budete postupovať v súlade s touto politikou: - Nepodnikneme právne kroky proti vám za konanie v dobrej viere. - Vaša činnosť bude považovaná za zákonnú a prínosnú. - Musíte dodržiavať platné zákony a túto politiku. Kontakt: Hlásenia zasielajte na adresu uvedenú v súbore security.txt. Používajte PGP na šifrovanú komunikáciu. Pravidlá: - Testujte iba systémy v rozsahu tejto politiky. - Nezneužívajte zraniteľnosti ani nezískavajte údaje. - Nevykonávajte DoS útoky, sociálne inžinierstvo, inštaláciu škodlivého kódu ani prístup k interným sieťam. - Okamžite prerušte test, ak narazíte na citlivé údaje. Zakázané aktivity: - Neautorizované zverejnenie zraniteľností. - Poškodenie systémov alebo údajov. - Útoky na interné siete, fyzický prístup. - DoS/DDoS, spam, phishing, sociálne inžinierstvo. Mimo rozsah: - Fyzické testy (napr. prístup do kancelárií). - Sociálne inžinierstvo. - Chýbajúce bezpečnostné hlavičky, cookie flagy. - UI/UX chyby, preklepy. - Automatizované skeny bez kontextu. Právny rámec: Politika je v súlade s odporúčanými postupmi pre zodpovedné nahlasovanie zraniteľností. Neoprávňuje na konanie v rozpore so zákonom. ============================================ ENGLISH (EN) ============================================ Purpose: Our goal is to protect users and their data. Responsible vulnerability disclosure helps ensure security and privacy. If you discover a serious vulnerability, contact us as soon as possible according to this policy. Scope: This policy applies only to the following websites operated by Česká pošta s.p. and Balíkovna: online.postservis.cz has IP address 193.150.24.135 online2.postservis.cz has IP address 193.150.24.135 online.test.postservis.cz has IP address 193.150.24.135 www.postservis.cz has IP address 193.150.24.135 Other websites using the Česká pošta s.p. or Balíkovna brand but operated by external suppliers are not covered by this policy. Expectations: - We will acknowledge your report and work with you to validate it. - Vulnerabilities will be addressed promptly. - Good-faith actions will be considered helpful. Authorization: If you act in compliance with this policy: - We will not take legal action against you for good-faith research. - Your actions will be considered lawful and beneficial. - You must comply with applicable laws and this policy. Contact: Submit reports to the email address in security.txt. Use PGP for encrypted communication. Rules: - Test only systems within the scope of this policy. - Do not exploit vulnerabilities or access data. - Do not perform DoS attacks, social engineering, install malicious code, or access internal networks. - Stop testing immediately if you encounter sensitive data. Prohibited activities: - Non-coordinated vulnerability disclosure. - Damage to systems or data. - Attacks on internal networks or physical access. - DoS/DDoS, spam, phishing, social engineering. Out of scope: - Physical testing (e.g., office access). - Social engineering. - Missing security headers, cookie flags. - UI/UX bugs, typos. - Automated scans without context. Legal framework: This policy aligns with best practices for responsible disclosure. It does not authorize unlawful actions.