Dokumenty
Bezpieczeństwo i zgłaszanie podatności
Sterujemy prawdziwymi falownikami i magazynami energii, więc bezpieczeństwo traktujemy jak funkcję produktu, nie dodatek. Tu znajdziesz, jak zgłosić nam lukę i co z tym zrobimy.
1. Jak zgłosić podatność
Znalazłeś(-aś) lukę bezpieczeństwa w naszej platformie, aplikacji mobilnej albo bramce EMS Connect? Napisz na security@profitems.pl (awaryjnie: kontakt@profitems.pl). Opisz co znalazłeś(-aś), jak to odtworzyć i jakiego elementu dotyczy (adres strony, wersja aplikacji, numer seryjny urządzenia). Plik maszynowy: /.well-known/security.txt (RFC 9116).
2. Co się dzieje po zgłoszeniu
- Potwierdzenie w 72 h — dostaniesz odpowiedź, że zgłoszenie do nas dotarło i kto się nim zajmuje.
- Analiza i naprawa — luki wpływające na bezpieczeństwo sterowania falownikami i danych klientów traktujemy priorytetowo; o postępie informujemy zgłaszającego.
- Skoordynowane ujawnienie — prosimy o nieujawnianie szczegółów publicznie, zanim naprawa trafi do użytkowników; po naprawie chętnie podziękujemy za zgłoszenie (jeśli chcesz — imiennie).
- Bez konsekwencji — działających w dobrej wierze badaczy (bez niszczenia danych, przerywania usług i dostępu do cudzych danych) nie ścigamy prawnie.
3. Jak dbamy o bezpieczeństwo urządzeń (EMS Connect)
Bramka EMS Connect i platforma ProfitEMS są projektowane zgodnie z wymaganiami normy ETSI EN 303 645 (cyberbezpieczeństwo urządzeń konsumenckich IoT), m.in.:
- Zero uniwersalnych haseł — każda bramka ma unikalny, generowany automatycznie token uwierzytelniający; porównywany metodą odporną na ataki czasowe.
- Ochrona komunikacji — połączenia panelu, aplikacji i API wyłącznie po HTTPS; łącze bramki z limitem prób, czasową blokadą adresów po serii błędnych uwierzytelnień i twardym limitem rozmiaru danych przed autoryzacją.
- Minimalizacja powierzchni ataku — sterowanie falownikiem przechodzi przez wąską, jawną listę dozwolonych rejestrów i walidator reguł bezpieczeństwa; każda decyzja systemu ma wpis w dzienniku.
- Aktualizacje — oprogramowanie serwerowe aktualizujemy w sposób ciągły; wydania przechodzą automatyczne testy (ponad 700 testów) przed wdrożeniem.
4. Zakres
Polityka obejmuje: profitems.pl, panel.profitems.pl, API platformy, aplikację mobilną ProfitEMS oraz bramki EMS Connect. Nie obejmuje infrastruktury podmiotów trzecich (np. hostingu, operatorów płatności) — takie zgłoszenia przekażemy właściwemu dostawcy.