Politika zodpovedného nahlasovania zraniteľností

Formuláre TUKE · Posledná aktualizácia: 2026-06-04 · Strojovo čitateľný kontakt: security.txt

Vážime si pomoc bezpečnostných výskumníkov, etických hackerov a ľudí, ktorí dobromyseľne hľadajú a hlásia zraniteľnosti v našich službách. Tento dokument popisuje, ako bezpečne nahlásiť bezpečnostný problém v aplikácii Formuláre TUKE.

Kam nahlasovať

E-mail: hasin@mhite.sk
Pre šifrovanú komunikáciu vyžiadajte verejný kľúč v prvej správe.

Čo nahlasovať

Čo nie je predmetom programu

Ako reportovať

V správe uveďte:

Naše záväzky

Bezpečné správanie pri testovaní (safe harbor)

Pokiaľ konáte v dobromyseľnej snahe podľa tejto politiky, nebudeme proti vám podnikať právne kroky ani nebudeme vyžadovať administratívne sankcie. Konkrétne:

Koordinovaná publikácia

Štandardná lehota na nápravu pred verejným zverejnením je 90 dní od nášho potvrdenia, alebo skôr, ak je dostupná oprava a obe strany sa zhodnú. Pri kritickej zraniteľnosti aktívne v zneužívaní môže byť lehota skrátená.

Právny rámec

Táto politika dopĺňa povinnosti prevádzkovateľa podľa zákona o kybernetickej bezpečnosti (transponujúceho smernicu NIS2). Závažné incidenty sú zároveň hlásené príslušnému CSIRT/CERT v zákonom stanovenej lehote.


Vulnerability Disclosure Policy

Formuláre TUKE · Last updated: 2026-06-04 · Machine-readable contact: security.txt

We appreciate the help of security researchers, ethical hackers and members of the public who find and report vulnerabilities in good faith. This page describes how to safely report a security issue in the Formuláre TUKE application.

Where to report

Email: hasin@mhite.sk
For encrypted communication, request the public key in your first message.

In scope

Out of scope

How to report

Please include in your message:

Our commitments

Safe harbor

As long as you act in good faith in line with this policy, we will not pursue legal action or administrative sanctions against you. Specifically:

Coordinated disclosure

Our standard remediation window before public disclosure is 90 days from our acknowledgment, or sooner if a fix is available and both parties agree. For a critical vulnerability under active exploitation the window may be shortened.

Legal framework

This policy supplements the operator's obligations under the Slovak Cyber Security Act (transposing the NIS2 directive). Significant incidents are reported to the competent CSIRT/CERT within the statutory deadline.