Bezpečnost JobsAI
Bezpečnost a zodpovědné nahlašování zranitelností
Děkujeme bezpečnostním výzkumníkům za zodpovědné testování a hlášení zranitelností. Tato pravidla navazují na compliance baseline v dokumentaci projektu a veřejný RFC 9116 security.txt.
Jak zranitelnost nahlásit
Pošlete popis na security@jobsai.cz. Uveďte postiženou URL nebo endpoint, kroky k reprodukci, dopad a případný důkaz konceptu.
Volitelný PGP klíč bude publikován na /.well-known/pgp-key.txt. Do té doby neposílejte citlivá data a napište si o bezpečný předávací kanál.
SLA a priorita oprav
První triage provedeme do 5 pracovních dnů. Opravy plánujeme podle závažnosti:
| Závažnost | Cíl opravy |
|---|---|
| Critical | oprava nebo mitigace do 7 dnů |
| High | oprava do 30 dnů |
| Medium | oprava do 90 dnů |
| Low | best-effort podle dopadu |
Safe harbor
Pokud testujete v dobré víře, držíte se rozsahu a nahlásíte nález bez zbytečného odkladu, nebudeme proti vám podnikat právní kroky kvůli samotnému bezpečnostnímu testování.
- Nepřistupujte k datům uživatelů ani je nestahujte; prokazujte jen minimální dopad.
- Nespouštějte DoS, volumetrické testy ani testy, které narušují dostupnost služby.
- Nepoužívejte automatizované skenery bez předchozího kontaktu a souhlasu.
- Neprovádějte sociální inženýrství vůči zaměstnancům, dodavatelům ani uživatelům.
V rozsahu
*.jobsai.cz- Veřejné i agentní endpointy JobsAI
- MCP, A2A a ACP zrcadla a integrační rozhraní
Mimo rozsah
- Služby třetích stran: Stripe, GoPay, Mapy.cz, Datová schránka a Azure infrastruktura
- DoS, DDoS a volumetrické útoky
- Sociální inženýrství vůči týmu nebo partnerům
Poděkování
Podepsaná a ověřená hlášení můžeme po dohodě zveřejnit v síni slávy: /bezpecnost/sin-slavy.