JobsAI

Bezpečnost JobsAI

Bezpečnost a zodpovědné nahlašování zranitelností

Děkujeme bezpečnostním výzkumníkům za zodpovědné testování a hlášení zranitelností. Tato pravidla navazují na compliance baseline v dokumentaci projektu a veřejný RFC 9116 security.txt.

Jak zranitelnost nahlásit

Pošlete popis na security@jobsai.cz. Uveďte postiženou URL nebo endpoint, kroky k reprodukci, dopad a případný důkaz konceptu.

Volitelný PGP klíč bude publikován na /.well-known/pgp-key.txt. Do té doby neposílejte citlivá data a napište si o bezpečný předávací kanál.

SLA a priorita oprav

První triage provedeme do 5 pracovních dnů. Opravy plánujeme podle závažnosti:

ZávažnostCíl opravy
Criticaloprava nebo mitigace do 7 dnů
Highoprava do 30 dnů
Mediumoprava do 90 dnů
Lowbest-effort podle dopadu

Safe harbor

Pokud testujete v dobré víře, držíte se rozsahu a nahlásíte nález bez zbytečného odkladu, nebudeme proti vám podnikat právní kroky kvůli samotnému bezpečnostnímu testování.

  • Nepřistupujte k datům uživatelů ani je nestahujte; prokazujte jen minimální dopad.
  • Nespouštějte DoS, volumetrické testy ani testy, které narušují dostupnost služby.
  • Nepoužívejte automatizované skenery bez předchozího kontaktu a souhlasu.
  • Neprovádějte sociální inženýrství vůči zaměstnancům, dodavatelům ani uživatelům.

V rozsahu

  • *.jobsai.cz
  • Veřejné i agentní endpointy JobsAI
  • MCP, A2A a ACP zrcadla a integrační rozhraní

Mimo rozsah

  • Služby třetích stran: Stripe, GoPay, Mapy.cz, Datová schránka a Azure infrastruktura
  • DoS, DDoS a volumetrické útoky
  • Sociální inženýrství vůči týmu nebo partnerům

Poděkování

Podepsaná a ověřená hlášení můžeme po dohodě zveřejnit v síni slávy: /bezpecnost/sin-slavy.