PERITRA← Zpět na úvod

Bezpečnost · Hlášení zranitelností

Bezpečnostní politika

Poslední aktualizace · 19. května 2026

1. Náš závazek

Společnost PERITRA Holding s.r.o. působí na průniku kybernetické bezpečnosti, fyzické ochrany a krizové exekuce. Bezpečnost a integrita našich veřejných aktiv — včetně webu peritra.com a jeho subdomén — je pro nás prvořadou provozní prioritou. Vítáme koordinovaná hlášení od nezávislých bezpečnostních výzkumníků jednajících v dobré víře.

2. Bezpečnostní kontakt

Veškerá hlášení zranitelností zasílejte na adresu info@peritraholding.com. Strojově čitelný kontakt je rovněž publikován v souboru security.txt v souladu se standardem RFC 9116.

3. Pokyny k hlášení

Pro efektivní triage a nápravu prosíme, aby hlášení obsahovalo:

  • jasný popis zranitelnosti a jejího potenciálního dopadu;
  • identifikaci dotčeného URL, endpointu, parametru nebo komponenty, ideálně s verzemi nebo časovými údaji;
  • minimální postup reprodukce nebo proof of concept, případně podpůrné logy či snímky obrazovky;
  • preferovaný kontaktní kanál a informaci, zda si přejete být uvedeni v poděkování.

Přijímáme hlášení v češtině a v angličtině. Doručení hlášení potvrzujeme do 5 pracovních dnů, úvodní hodnocení poskytujeme do 10 pracovních dnů a po celou dobu nápravy vás informujeme o postupu řešení.

4. Pravidla zodpovědného hlášení

Při odeslání hlášení očekáváme, že:

  • poskytnete nám přiměřenou dobu na prošetření a nápravu před jakýmkoli zveřejněním (zpravidla 90 dnů od potvrzení přijetí, nebo dříve po vzájemné dohodě);
  • budete jednat v dobré víře, vyhnete se zásahům do soukromí, poškozování dat či dostupnosti a jakémukoli jednání, které by mohlo poškodit uživatele;
  • využijete pouze nezbytnou interakci k prokázání zranitelnosti — po jejím prokázání další testování ukončíte;
  • nestáhnete, nezkopírujete, neuchováte, neupravíte ani nesdílíte žádná data PERITRA ani třetích stran nad rámec nutný k prokázání dopadu;
  • neumístíte na žádný dotčený systém škodlivý kód, ransomware, mechanismy perzistence ani změny konfigurace.

5. Pravidla zapojení (rules of engagement)

Následující činnosti jsou mimo rozsah a považujeme je za neoprávněné bez ohledu na úmysl:

  • útoky typu odepření služby (DoS/DDoS) a zátěžové testování;
  • automatizované skenování ve vysoké frekvenci ovlivňující dostupnost nebo generující nadměrný provoz;
  • sociální inženýrství, phishing, vishing nebo fyzické pokusy o vniknutí vůči zaměstnancům, dodavatelům, partnerům či prostorám PERITRA;
  • útoky na třetí strany, které využíváme (Cloudflare, Google, Formspree a další) — takové zranitelnosti prosím hlaste přímo příslušnému poskytovateli;
  • přístup k datům uživatelů, tajným údajům či interní konfiguraci, jejich úprava nebo exfiltrace nad rámec důkazu konceptu.

6. Neoprávněné testování

Jakékoli bezpečnostní testování, skenování, využití zranitelnosti či výzkum prováděný proti aktivům PERITRA bez předchozího písemného souhlasu je zakázáno. Neoprávněné testování může naplňovat skutkové podstaty trestných činů podle § 230 a násl. zákona č. 40/2009 Sb. (trestní zákoník) — zejména neoprávněného přístupu k počítačovému systému a nosiči informací — a může též porušovat směrnici Evropského parlamentu a Rady 2013/40/EU o útocích na informační systémy. PERITRA si vyhrazuje právo využít všechny dostupné právní prostředky.

Vůči výzkumníkům jednajícím v dobré víře v souladu s touto politikou a výše uvedenými pravidly nebude PERITRA podnikat právní kroky za jejich koordinovaný výzkum.

7. Důvěrnost a uznání

S hlášeními nakládáme důvěrně. V současné době neprovozujeme placený bug bounty program, výzkumníci, kteří v rámci této politiky odešlou platné a originální hlášení, však mohou být na vlastní žádost zmíněni v poděkování po dokončení nápravy.

8. Reference