Trustpilot
vs automatic kompetencer
Kontakt os
vs automatic logo

Vulnerability Disclosure Policy - VDP

Sidst opdateret: 10. december 2025

Hos VS Automatic tager vi sikkerhed alvorligt. Vi arbejder løbende på at beskytte vores systemer, data og brugere, og vi værdsætter ansvarlig rapportering af sårbarheder.

Formål

Vi ønsker at gøre det nemt og sikkert at rapportere sikkerhedssårbarheder, så de kan håndteres hurtigt og ansvarligt.

Omfang

Denne politik gælder for alle tjenester, API’er, applikationer og systemer under vores domæne: vs-automatic.dk og eventuelle subdomæner.

Rapportering

Send rapporter til mailto:security@vs-automatic.dksecurity@vs-automatic.dk.
Hvis muligt, benyt PGP for krypteret kommunikation
(offentlig nøgle: /security/pgp-key.txtPGP key – indsæt korrekt sti).

Medtag gerne:

  • Klar, teknisk beskrivelse og påvirkning.
  • Trin til at reproducere (PoC): URL, input, forventet/observeret adfærd.
  • Relevante headers, payloads, screenshots eller korte videoer.
  • Kontaktoplysninger for opfølgning.

Regler for ansvarlig test

  • Ingen aktiv udnyttelse (ingen ændringer/sletning af data, ingen lateral movement).
  • Ingen adgang, download eller manipulation af persondata.
  • Ingen DoS/DDoS, brute force, eller høj-belastningsscanninger.
  • Ingen afpresning eller trusler.
  • Ingen offentliggørelse før fix, medmindre skriftligt aftalt.

Hvis du utilsigtet får adgang til data, stop testen, slet materialet sikkert og informer os straks.

Vores løfte

  • Bekræftelse: Vi bekræfter modtagelse inden 5 kalenderdage.
  • Remediation: Vi sigter mod at rette kritiske sårbarheder inden 30 dage. Øvrige rettes efter risikovurdering.
  • Transparens: Vi holder dig orienteret om status og forventet tidslinje.

Safe Harbor

Handler du i god tro og følger denne politik, forfølger vi ikke juridiske skridt for legitim sikkerhedstest af vores systemer.
Dine handlinger betragtes som autoriserede, og vi involverer ikke retshåndhævelse, medmindre det kræves ved lov eller der sker bevidst misbrug/skade.

Dette Safe Harbor gælder ikke for tredjeparters systemer og erstatter ikke gældende lov.

Belønning

Vi tilbyder anerkendelse i vores Hall of Fame (navn/pseudonym og reference), samt mulighed for
donation til velgørenhed på dine vegne ved særligt værdifulde fund.

Bemærk: Dette er ikke et garanteret monetært bug bounty-program.

Offentliggørelse

Vi koordinerer gerne offentliggørelse efter udrulning af fix. Som udgangspunkt offentliggør vi selv advisories eller changelogs.

Kontakt

  • Sikkerhedsteam: security@vs-automatic.dk
  • PGP nøgle: /security/pgp-key.txt/security/pgp-key.txt (indsæt korrekt sti)
  • Scope-domæner: vs-automatic.dk (+ subdomæner)