Säkerhet & förtroende
Sårbarhetsrapportering, PGP-kontakt och överensstämmelse med EU:s Cyber Resilience Act (CRA).
1. Rapportera en sårbarhet
Hittat ett säkerhetsproblem? Vi välkomnar konfidentiella rapporter. Använd kanalerna nedan istället för offentliga kanaler.
Konfidentiella kontaktvägar
- E-post:security@chorilo.com
- PGP-nyckel:/.well-known/pgp-key.txt
- security.txt enligt RFC 9116:/.well-known/security.txt
2. Omfattning
Inom omfattning
- chorilo.com och alla produktionsunderdomäner
- Chorilo Backend API
- Chorilo mobilapp (iOS, Android)
- Chorilo Files skrivbordsapp (macOS, Windows)
- Autentisering, auktorisering, dataåtkomstkontroller
Utanför omfattning
- Automatiska skannerrapporter utan fungerande proof of concept
- Saknade säkerhetsheaders utan påvisad påverkan
- Phishing eller social ingenjörskonst mot personal
- Tredjepartstjänster (Stripe, Sentry — rapportera direkt)
- Self-XSS, attacker mot rapportörens enhet
3. Safe Harbor
Om du agerar i god tro kommer vi inte driva civilrättsliga eller straffrättsliga åtgärder, förutsatt att du:
- Undviker integritetsbrott, dataförstörelse och tjänsteavbrott.
- Endast interagerar med egna konton eller med uttryckligt tillstånd.
- Inte exfiltrerar mer data än nödvändigt för att demonstrera problemet.
- Ger oss rimlig tid att åtgärda före offentlig publicering.
- Inte utnyttjar sårbarheten utöver minimum.
4. Svarstider
| Tidsfrist | Åtgärd |
|---|---|
| 3 arbetsdagar | Mottagningsbekräftelse till rapportören |
| 10 arbetsdagar | Initial bedömning och allvarsklassificering |
| 24 h | Early warning till ENISA för aktivt utnyttjade sårbarheter |
| 72 h | Sårbarhetsnotifiering med mitigeringsplan |
| 14 d | Slutrapport med grundorsak och åtgärder |
För aktivt utnyttjade sårbarheter gäller CRA-tidslinjen (24h / 72h / 14d).
5. PGP-nyckel
För särskilt känsliga rapporter kan följande PGP-nyckel användas.
Jämför fingeravtrycket med en andra källa — t.ex. keys.openpgp.org — före första användning.
6. CRA-överensstämmelse
Chorilo följer EU:s Cyber Resilience Act (Förordning 2024/2847):
- Sårbarhetspolicy enligt art. 13 och 14 CRA.
- Software Bill of Materials (CycloneDX 1.5) per komponent.
- Teknisk dokumentation enligt bilaga VII, bevaras i 10 år.
- Offentlig statussida och incidenthistorik på /status
7. Hall of Fame
En lista över säkerhetsforskare som bidrar till Chorilo publiceras här efter att de första rapporterna lösts.