Πολιτική Ασφάλειας & Γνωστοποίησης Ευπαθειών
Ημερομηνία έναρξης ισχύος: 1 Ιουνίου 2026
Η TabbPay αντιμετωπίζει με σοβαρότητα την ασφάλεια της πλατφόρμας της και την προστασία των δεδομένων επισκεπτών, προσωπικού και πληρωμών. Καλωσορίζουμε αναφορές από ερευνητές ασφάλειας και θα συνεργαστούμε μαζί σας για την ταχεία κατανόηση και επίλυση των ζητημάτων.
Πώς να αναφέρετε
Στείλτε e-mail στο security@tabbpay.com με:
- περιγραφή του ζητήματος και των πιθανών συνεπειών του·
- σαφείς, βήμα προς βήμα οδηγίες αναπαραγωγής (proof-of-concept, επηρεαζόμενο URL/endpoint, δείγματα αιτήματος/απόκρισης)·
- το όνομα ή το ψευδώνυμό σας, εφόσον επιθυμείτε αναφορά.
Τα μηχαναγνώσιμα στοιχεία επικοινωνίας μας δημοσιεύονται στο /.well-known/security.txt (RFC 9116).
Πεδίο εφαρμογής
Εντός πεδίου:
tabbpay.com,app.tabbpay.com,staff.tabbpay.com,dashboard.tabbpay.comκαιapi.tabbpay.com.
Εκτός πεδίου:
- Επιθέσεις άρνησης υπηρεσίας (DoS/DDoS), δοκιμές όγκου ή brute-force.
- Κοινωνική μηχανική, phishing ή φυσικές επιθέσεις κατά προσωπικού ή εγκαταστάσεων.
- Ευρήματα αυτοματοποιημένων σαρωτών χωρίς αποδεδειγμένο, εκμεταλλεύσιμο αντίκτυπο.
- Αναφορές που αφορούν μόνο παρωχημένους browsers ή υπηρεσίες τρίτων που δεν ελέγχουμε (π.χ. πάροχοι πληρωμών, Cloudflare, Clerk).
Ασφαλές καταφύγιο (safe harbour)
Εφόσον καταβάλλετε καλόπιστη προσπάθεια συμμόρφωσης με την παρούσα πολιτική κατά την έρευνά σας, θεωρούμε τη δοκιμή σας εξουσιοδοτημένη, δεν θα επιδιώξουμε ούτε θα υποστηρίξουμε νομικές ενέργειες εναντίον σας και θα συνεργαστούμε για την επίλυση. Παρακαλούμε:
- δοκιμάζετε μόνο σε δικούς σας λογαριασμούς/δεδομένα ή σε δεδομένα δοκιμής που δικαιούστε να χρησιμοποιείτε·
- μην αποκτάτε πρόσβαση, τροποποιείτε ή εξάγετε δεδομένα άλλων χρηστών, δεδομένα κατόχων καρτών ή μυστικά·
- μην υποβαθμίζετε ούτε διαταράσσετε τις υπηρεσίες μας για πραγματικούς χρήστες·
- δώστε μας εύλογη ευκαιρία αποκατάστασης πριν από οποιαδήποτε δημόσια γνωστοποίηση.
Τι να περιμένετε
- Επιβεβαίωση της αναφοράς σας εντός 3 εργάσιμων ημερών.
- Αξιολόγηση και, όπου είναι έγκυρη, χρονοδιάγραμμα αποκατάστασης βάσει σοβαρότητας.
- Αναφορά (credit) του πρώτου που ανέφερε έγκυρο, άγνωστο ζήτημα, εφόσον το επιθυμείτε.
Δεν λειτουργούμε επί του παρόντος αμειβόμενο πρόγραμμα bug-bounty, αλλά είμαστε ευγνώμονες για την υπεύθυνη γνωστοποίηση και ευχαρίστως αναγνωρίζουμε τους συνεισφέροντες.