Locus_supply_chain_optimization_logo
bg-pattern-image bg-pattern-image bg-pattern-image

Kebijakan Pengungkapan Kerentanan yang Bertanggung Jawab

Terakhir diperbarui pada April 20, 2021

  • Locus bekerja sama dengan peneliti keamanan untuk mengidentifikasi dan memperbaiki kerentanan keamanan di infrastruktur dan produk kami. Jika Anda yakin telah menemukan masalah keamanan, kami mendorong Anda untuk memberi tahu kami dan bekerja sama dengan kami sesuai dengan kebijakan pengungkapan ini.
  • Beri tahu kami segera setelah Anda menemukan potensi masalah keamanan. Prioritasi masalah keamanan ini akan disesuaikan dengan tingkat kepelikannya. Jangan mengungkapkan sebagian, atau seluruh kerentanan secara publik sampai kami memiliki kesempatan untuk menyelidiki dan memulihkannya dengan Anda.
  • Beritahu kami di security@locus.sh. Jika Anda yakin telah menemukan kerentanan yang memengaruhi informasi rahasia (seperti data pelanggan, kode sumber, kredensial, dll.), atau informasi pribadi, harap konfirmasikan potensi masalah dengan tim kami sebelum mencoba mendapatkan akses ke informasi atau mengunduh data rahasia apa pun.
  • Jika Anda menemukan informasi pribadi yang dapat dikenali, jangan mengungkapkan informasi tersebut kepada pihak ketiga mana pun.
  • Jangan menyimpan informasi pengenal pribadi apa pun yang ditemukan, dalam media apa pun. Setiap informasi pengenal pribadi yang ditemukan harus dihancurkan atau dihapus secara permanen dari perangkat dan penyimpanan Anda.
  • Serangan yang secara tegas di luar jangkauan meliputi:
    • Kegagalan layanan
    • Spam
    • Serangan rekayasa sosial/phising ke staff Locus
    • Pengujian keamanan fisik di premis atau pusat data Locus
    • Serangan yang merusak atau mengkorupsi data, informasi, atau infrastruktur, atau membahayakan pelanggan kami, atau masyarakat luas
    • Serangan berupa misrepresentasi Locus ke pihak lain
    • Serangan pada layanan pihak ketiga
  • Locus akan mengakui penerimaan laporan keamanan sebelum akhir hari kerja berikutnya, dan kemudian akan bekerja sama dengan Anda untuk memperbaiki setiap kerentanan. Kami secara terbuka mengakui peneliti keamanan yang mengikuti kebijakan pengungkapan yang bertanggung jawab ini bergantung pada tingkat keparahan kerentanan yang dilaporkan, dan dapat mengikutsertakan mereka ke dalam program hadiah pribadi kami yang memiliki cakupan, akses, dan hadiah tambahan.
  • Jika Anda tidak yakin dengan aturan keterlibatan, atau hal lain yang terkait dengan cara bekerja dengan kami dalam masalah keamanan, harap hubungi kami di security@locus.sh sebelumnya. Mencari klarifikasi terlebih dahulu selalu menjadi opsi yang lebih baik.
  • Locus tidak akan menerima laporan bug apa pun yang mana detail atau pengungkapan selengkapnya bergantung pada imbalan komersial. Kami akan menganggap ini sebagai ajakan uji penetrasi komersial (kurang etis), bukan penelitian keamanan dengan itikad baik. Namun, Locus akan mengeluarkan penghargaan apresiatif berdasarkan peringkat kerentanan CVSS. Disarankan untuk menyertakan peringkat CVSS bersama dengan laporan PoC.
  • Lokus biasanya hanya mempertimbangkan masalah tingkat keparahan "Tinggi" atau "Sedang". Berikut adalah daftar indikatif masalah yang tidak dipertimbangkan:
    • Masalah yang ditemukan melalui pengujian otomatis
    • "Output pemindai" atau laporan masalah yang dihasilkan pemindai
    • Kehadiran spanduk atau informasi versi
    • OPSI / TRACE metode HTTP diaktifkan
    • Kehadiran / masalah XML-RPC
    • Bug yang dirilis secara publik dalam 3 hari setelah pengungkapannya
    • Laporan "Penasihat" atau "Informasi" seperti enumerasi pengguna
    • Kerentanan yang membutuhkan akses fisik ke sistem
    • Serangan Denial of Service (DoS dan DDoS)
    • CAPTCHA tidak ada
    • Halaman server web default
    • Serangan brute force
    • Teknik spam atau rekayasa sosial, termasuk:

      • Masalah SPF, DKIM, DMARC
      • Injeksi konten
      • Injeksi hyperlink di email
      • Serangan homograf IDN
      • Ambiguitas RTL
    • Pemalsuan Konten
    • Masalah yang berkaitan dengan kebijakan kata sandi
    • Pengungkapan jalur lengkap (full-path disclosure)
    • Pengungkapan informasi nomor versi
    • Clickjacking / ganti bingkai (frame-redressing)
    • Tindakan berkemampuan CSRF yang tidak memerlukan otentikasi (atau sesi) untuk dieksploitasi
    • Masalah pada subdomain/domain pihak ketiga dari layanan yang kami gunakan (Silakan laporkan masalah tersebut ke layanan yang sesuai).
    • Laporan terkait dengan header terkait keamanan berikut:

      • Keamanan Transportasi Ketat (HSTS)
      • Header mitigasi XSS (X-Content-Type dan X-XSS-Protection)
      • X-Content-Type-Options
      • Pengaturan Kebijakan Keamanan Konten (CSP) (tidak termasuk nosniff dalam skenario yang dapat dieksploitasi)
  • Waktu penyelesaian untuk kerentanan risiko "Tinggi", "Sedang" dan "Rendah" masing-masing adalah 1 minggu, 2 minggu, dan 4-6 minggu. Harap tunggu tanggapan dari kami sesuai dengan jendela waktu tersebut.
/assets/img/logo/locus-white.svg

Jadwalkan pertemuan dengan Locus

Bagaimana Locus bisa membantu logistik Anda?

  • Mesin geocoding hak milik Locus mengonversi data alamat yang kacau menjadi koordinat geografis yang membantu eksekutif lapangan Anda untuk mencari alamat dengan mudah.
  • Digitize all your operational variables such as fleets, delivery persons, etc to come up with the best route plan every day.
  • Lacak pesanan Anda secara real-time dengan Locus Live Dashboard. Aplikasi pengiriman mil terakhir yang bernama Locus On The Road (LOTR) membantu mitra pengiriman dalam memroses pesanan.
  • Visualize and tweak your scheduled plans via three key metrics— geography, time, & vehicle(fleet)—with a birds-eye view of your entire operations.
  • Susun laporan Anda sendiri dan analisis parameter penting yang Anda perlukan untuk membuat keputusan penting.

Bergabunglah dengan para Pemimpin Industri:

$100 M+
Logistics costs reduced
100+ Years
Penghematan waktu perencanaan
6300 + Tonnes
Pengurangan Emisi GRK

Jadwalkan Demo

Dengan mengklik kirim, Anda memberi kami persetujuan Anda untuk berkomunikasi melalui email atau telepon, tentang demo yang Anda minta.

Bahasa IndonesiaFrançaisDeutschEnglish