Sikkerhedspolitik

Responsible Disclosure

Sikkerhed er en kontinuerlig proces. Har du fundet en sårbarhed eller sikkerhedsmæssig svaghed i Auroa's systemer, kunde-miljøer Auroa driver eller infrastruktur tilhørende Auroa, hører vi gerne fra dig. Denne side beskriver hvordan du rapporterer, hvad du kan forvente — og rammerne for ansvarlig offentliggørelse.

Policy

Vores Responsible Disclosure-policy

Auroa tager sikkerhed alvorligt — også vores egen. Vi opfordrer security researchers, kunder, samarbejdspartnere og almindelige internetbrugere til at rapportere sårbarheder, de finder i vores systemer, så vi hurtigt kan rette dem og holde vores kunder beskyttet.

Vores forpligtelse

Når du rapporterer en sårbarhed til Auroa i god tro, forpligter vi os til at:

  • Bekræfte modtagelsen af din rapport indenfor 72 timer på hverdage.
  • Validere fundet og give dig en initial vurdering indenfor 7 hverdage.
  • Holde dig informeret om status mindst hver 14. dag indtil sagen er lukket.
  • Behandle din identitet og rapport fortroligt.
  • Anerkende dit bidrag offentligt med dit samtykke (se “Hall of Thanks” nedenfor).
  • Ikke indlede retslige skridt mod dig så længe du følger denne policy (se “Safe harbor” nedenfor).

Scope — hvad er omfattet

Følgende assets er i scope for vores Responsible Disclosure Program:

  • auroa.dk og alle subdomæner *.auroa.dk
  • auroa.group og alle subdomæner *.auroa.group
  • E-mail-infrastruktur drevet af Auroa (mailflows, autentificering, SPF/DKIM/DMARC-opsætning)
  • Offentligt tilgængelige API-endpoints driftet af Auroa
  • Klient-side kode (JavaScript, formularer) leveret fra Auroa-domæner

Uden for scope

  • Tredjepartstjenester der ikke ejes af Auroa (Microsoft 365, Google Workspace, Cloudflare, LinkedIn etc.) — rapportér disse direkte til ejeren.
  • Sårbarheder i kunder-miljøer som Auroa rådgiver om, men ikke selv ejer. Disse skal rapporteres til den respektive kunde — kontakt os hvis du har brug for at få formidlet kontakt.
  • Social engineering af Auroa’s medarbejdere, kunder eller leverandører.
  • Fysiske angreb mod Auroa’s lokaler eller medarbejdere.
  • DDoS-angreb, volumetriske eller brute-force-angreb der kan forringe systemets stabilitet.
  • Spam, phishing eller malware der ikke er knyttet til et konkret teknisk sårbarhedsfund.
  • Generiske automatiserede scanner-rapporter uden verificeret påvirkning.

Hvad du må teste — og hvad du ikke må

Du må undersøge og rapportere typiske sårbarhedsklasser, herunder:

  • Misconfiguration (sikkerhedsheaders, CSP, CORS, cookie-flags, DNS, mail-autentificering)
  • Adgangskontrolfejl (broken access control, IDOR, privilege escalation)
  • Injektionsfejl (SQLi, command injection, template injection)
  • Cross-site scripting (XSS) og cross-site request forgery (CSRF)
  • Information disclosure (kildekode, credentials, intern stack)
  • Forretningslogik-fejl i offentligt eksponerede services

Du må ikke:

  • Eksfiltrere, slette eller modificere data — heller ikke for at demonstrere alvor.
  • Tilgå data tilhørende andre brugere, kunder eller tredjeparter.
  • Køre automatiserede scanners der genererer betydelig trafik.
  • Offentliggøre fundet før vi har haft mulighed for at lukke det (se “Coordinated disclosure” nedenfor).
  • Forsøge at omgå rate limits, captchas eller anti-bot-foranstaltninger på en måde der kan påvirke andre brugere.
  • Anvende fundne sårbarheder mod kunder, partnere eller andre tredjeparter.

Sådan rapporterer du

Send en e-mail til security@auroa.dk med følgende informationer:

  1. Sårbarhedstype — for eksempel XSS, SQLi, IDOR, broken access control, misconfiguration.
  2. Berørt URL eller komponent — vær så præcis som muligt.
  3. Reproduktionsskridt — så vi kan verificere selvstændigt.
  4. Potentiel påvirkning — hvad kan en angriber opnå?
  5. Foreslået severity efter CVSS 3.1 eller 4.0, hvis relevant.
  6. Din kontakt-information — anonyme rapporter accepteres, men det er sværere at sige tak og holde dig opdateret.
  7. Eventuelle proof-of-concept-filer — vedhæft eller link i kryptered form.

Vi opfordrer kraftigt til at kryptere følsomme rapporter med PGP. Vores nøgle er tilgængelig via https://auroa.dk/.well-known/pgp-key.txt.

Fingerprint: 04EC 921B D02E 6E25 7360 C5CD 6FFF 41A1 89B3 83B3

Forventet response og SLA

Vi sigter mod følgende svartider afhængigt af severity:

  • Bekræftelse af modtagelse: indenfor 72 timer på hverdage.
  • Initial vurdering og severity-bestemmelse: indenfor 7 hverdage.
  • Critical (CVSS 9.0–10.0): mitigering eller patch indenfor 30 dage.
  • High (CVSS 7.0–8.9): mitigering eller patch indenfor 60 dage.
  • Medium / Low (CVSS < 7.0): mitigering eller patch indenfor 90 dage.

Mere komplekse fund kan tage længere — vi holder dig løbende underrettet og forklarer hvis vi vurderer at en sårbarhed accepteres som risiko fremfor at lukkes.

Coordinated disclosure

Vi følger principperne for coordinated disclosure:

  • Hold rapporten fortrolig indtil Auroa har haft mulighed for at addressere den.
  • Standard-vinduet er 90 dage fra rapportering til offentliggørelse — kortere ved akut udnyttelse i naturen, længere efter aftale ved særligt komplekse fund.
  • Når sårbarheden er lukket og verificeret, må du gerne publicere din research. Vi sætter pris på at blive informeret før publicering, så vi kan koordinere med eventuelt berørte kunder.

Anerkendelse

Auroa har på nuværende tidspunkt ikke et formelt bug bounty-program, men vi sætter stor pris på bidrag fra security-fællesskabet:

  • Vi anerkender hver verificeret rapport i vores Hall of Thanks nedenfor — med dit fulde navn, alias eller anonymt efter dit valg.
  • Ved særligt værdifulde fund tilbyder vi efter eget skøn en symbolsk tak — typisk Auroa-mærket merchandise eller en mindre godtgørelse via PayPal eller MobilePay.
  • Vi udsteder gerne en referenceudtalelse om din research til brug i din portfolio, CV eller LinkedIn.

Safe harbor

Hvis du rapporterer i god tro og holder dig indenfor scope og adfærdsreglerne i denne policy, forpligter Auroa sig til at:

  • Ikke indlede civile eller strafferetslige skridt mod dig.
  • Ikke kontakte myndigheder vedrørende din research, så længe du har overholdt denne policy.
  • Behandle din identitet fortroligt, medmindre andet aftales.
  • Acceptere rimelige forsøg på ansvarlig håndtering, selv hvis du utilsigtet overskrider scope eller adfærdsreglerne — så længe du straks stopper og kontakter os.

Denne safe harbor gælder kun research udført på Auroa’s egne assets, jævnfør scope ovenfor. Den dækker ikke research udført mod kunders, partneres eller tredjeparters systemer.

Hall of Thanks

Vi takker følgende researchers for deres bidrag til at gøre Auroa’s systemer mere sikre:

Listen er endnu tom — vil du være den første?

Spørgsmål om denne policy

Har du spørgsmål til omfang, proces eller fortolkning af denne policy, så skriv til security@auroa.dk. Generelle spørgsmål om Auroa eller vores ydelser kan sendes til info@auroa.dk eller via vores kontaktside.

Process

Sådan håndterer vi din rapport

Fra det øjeblik du sender din rapport, følger vi en struktureret proces, så du ved hvor din sag er, og hvad næste skridt er.

Har du fundet en sårbarhed?

Vi sætter stor pris på din indsats. Send din rapport til vores sikkerhedskanal, eller kontakt os hvis du har et generelt spørgsmål.