Vulnerability Disclosure Policy

O společnosti
Zpět na úvod

Letiště Praha, a. s. působí v oblasti civilní letecké dopravy jako provozovatel největšího mezinárodního letiště v České republice. Jako takový má významné závazky k zajištění bezpečnosti civilního letectví, které vyplývají z mezinárodních i národních legislativních požadavků. V tomto ohledu je úroveň bezpečnosti civilního letectví na Letišti Václava Havla Praha vnímána jako úroveň, kterou zajišťuje Česká republika.

Bezpečnostní strategie se vztahuje na všechny významné činnosti a poskytované služby, které mají vliv na bezpečnost cestujících, zaměstnanců a ostatních uživatelů Letiště Václava Havla Praha, jakož i na vytváření bezpečného prostředí pro podnikání dalších subjektů, především leteckých dopravců, poskytovatelů leteckých služeb a obchodních organizací působících na letišti.

Cílem bezpečnostní strategie Letiště Praha, a. s. je definovat, jakým způsobem je zajišťována ochrana zaměstnanců, cestujících a ostatních uživatelů letiště, zdrojů, informací, celistvosti a pověsti podniku před potenciálními hrozbami. Její součástí je hodnocení bezpečnostního prostředí a analýza rizik ohrožujících aktiva, která Letiště Praha, a. s. chrání.

Bezpečnost v nejširším pojetí je pojem, který se promítá do všech činností organizace, avšak v případě subjektu zajišťujícího činnosti v oblasti civilního letectví vyvstává ještě více do popředí.

Letiště Praha, a. s. chápe bezpečnost jako celek, který zahrnuje především následující oblasti:

  • Ochranu civilního letectví před protiprávními činy
  • Ochranu osob, majetku společnosti a jejích zaměstnanců
  • Ochranu veřejného pořádku a prevence kriminality 
  • Administrativní bezpečnost a bezpečnost informací 
  • Bezpečnost IT 
  • Požární ochranu
  • Provozní bezpečnost
  • Bezpečnost a ochranu zdraví při práci

Informace ke zpracování osobních údajů v kamerovém systému provozovaném firmou Letiště Praha, a. s.

Zásady pro zveřejňování informací o zranitelnostech

Pro společnost Letiště Praha, a.s. (dále jen „Společnost“) je nanejvýš důležitá bezpečnost našich cestujících, zákazníků a to v oblasti ochrany dat, informací a osobních údajů. V rámci našeho závazku zajistit vysokou informační a kybernetickou bezpečnost našich informačních systémů je zaveden proces pro zveřejňování zranitelností. Účelem těchto zásad je podpořit odpovědné a bezpečné hlášení zranitelností, které jsou zjištěny v informačních systémech Letiště Praha a. s..  

Datum poslední aktualizace

  • Toto je verze číslo 1 ze dne 1. 1. 2023.  

Distribuční seznam pro oznámení

  • Veškeré specifické dotazy nebo připomínky prosím zasílejte na adresu týmu CSOC LKPR, csoc@prg.aero.  

Dostupnost dokumentu

  • Aktuální verze tohoto popisného dokumentu je dostupná na internetových stránkách týmu CSOC LKPR.  
Kontaktní informace

Název týmu

CSOC LKPR: CSOC tým Letiště Praha, a.s.

Adresa

CSOC LKPR
Jana Kašpara 1069/1
161 00 Praha 6 – Ruzyně
Česká republika

Časové pásmo

Středoevropský čas (UTC +1, od poslední neděle v říjnu do poslední neděle v březnu) SELČ, Středoevropský letní čas (UTC +2, od poslední neděle v březnu do poslední neděle v říjnu).

​​​​​​​Elektronická adresa

Pro hlášení incidentů i běžnou komunikaci prosím použijte adresu csoc@prg.aero. Na e-mail je odpovídáno ve většině případů do 12 hodin.   ​​​​​​​

Veřejné klíče a šifrovací

Pro hlášení incidentu a související komunikaci prosím použijte níže uvedený klíč. Komunikační klíč (použijte pro ověřování a šifrování):  

  • User ID: CSOC-LKPR <csoc@prg.aero>  
  • Key ID: 0x74F4 C68E 0F93 F9D4  
  • Fingerprint: 0x9706 43B8 B539 2DBF 3634 9F25 74F4 C68E 0F93 F9D4   ​​​​​​​

Obecné informace o CSOCSIRT LKPR lze nalézt na stránkách týmu a dále na stránkách Trusted Introducer. Na webových stránkách je bezpečnostní tým Letiště Praha, a.s. evidován pod názvem CSOC Prague Airport resp., CSOC LKPR.

​​​​​​​Kontakt s veřejností

Preferovaný způsob kontaktování CSOC LKPR je prostřednictvím e-mailu. Hlášení incidentů a související otázky by měly být zaslány na adresu csoc@prg.aero.  Není-li možné (nebo je-li nevhodné z bezpečnostních důvodů) použít e-mail, můžete CSOC LKPR kontaktovat telefonicky. Pracovní doba CSOC LKPR je 24/7/365.  

Rozsah působnosti

Tyto zásady se vztahují na veškeré systémy a aplikace vlastněné nebo provozované společností, včetně webových stránek, webových aplikací a aplikačního programového rozhraní.  

Povolený rozsah testování

Všechny možnosti testování jsou povoleny s výjimkou těch, které omezují nebo brání funkčnosti systému. Následující zkušební metody nejsou povoleny:

  • Testy (DoS nebo DDoS) nebo jiné testy, které zhoršují přístup k systému nebo datům nebo je poškozují.
  • Fyzické testování (např. přístup do kanceláře, otevřené dveře, tailgating), sociální inženýrství (např. phishing, vishing) nebo jiné netechnické testování zranitelnosti.
  • Úplné penetrační testování Red-team, které zahrnuje neoprávněný přístup k našim serverům.
    1. Přípustné formy

Informace poskytnuté podle těchto zásad budou použity pouze pro obranné účely - ke zmírnění nebo nápravě zranitelností. Pokud vaše zjištění obsahují nově objevené zranitelnosti, které se týkají všech uživatelů produktu nebo služby, a nikoli pouze LKPR, můžeme vaše hlášení sdílet s NÚKIB. Bez výslovného souhlasu nebudeme sdílet vaše jméno ani kontaktní údaje. Společnost přijímá pouze výstupní zprávy z testování zranitelností a to ve formě Portable Document Format (PDF). Žádný jiný formát nebude společností akceptován a považován za platný. Samotná zpráva musí obsahovat následující:

  • Popis místa, kde byla zranitelnost objevena s popisem potenciálního dopadu zneužití.
  • Podrobný popis jednotlivých kroků, jenž umožní reprodukci útoku (PoC).
  • Preferované jazyky: Čeština, Angličtina
    1. Doba pro odpověď

Odpovědi na zaslané výstupní zprávy či jiné dotazy nejsou automatické. Bezpečnostní tým CSOC LKPR přezkoumává všechny obdržené zprávy a v co nejkratším čase na ně reaguje, nejpozději však do jednoho pracovního dne po obdržení. LKPR neodpovídá na stížnosti nebo dotazy, jelikož to není předmětem VDP.​​​​​​​

​​​​​​​​​​​​​​Finanční ohodnocení

LKPR neposkytuje ohlašovatelům za zaslání zranitelností žádné odměny, avšak správné nahlášení zranitelnosti může ohlašovatele zařadit do síně slávy LKPR. Oznamovatelé, kteří zranitelnost LKPR předkládají, se tímto vzdávají jakýchkoli nároků na odměnu.

Cílem Síně slávy pro objevování kritických zranitelností webu je ocenit a vyzdvihnout přínos osob, které identifikovaly a nahlásily významné bezpečnostní chyby ve webových aplikacích. Pro zařazení do této Síně slávy platí následující pravidla:

  • Zranitelnost by neměla být před objevením nahlášena nebo zveřejněna nikým jiným.
  • Zranitelnost musí být kritické závažnosti a musí představovat významnou hrozbu pro bezpečnost webové aplikace nebo jejích uživatelů. Příklady kritických zranitelností zahrnují mimo jiné SQL injection, cross-site scripting (XSS) a vzdálené spuštění kódu.
  • Zranitelnost musí být zodpovědně a eticky nahlášena podle postupu nahlášení nové zranitelnosti. To zahrnuje poskytnutí podrobných informací o zranitelnosti, způsobu jejího zneužití a krocích k její reprodukci.
  • Objevitel musí dodržovat všechna právní a etická pravidla a nesmí zranitelnost zneužít k osobnímu prospěchu nebo ke škodlivým účelům.
  • Objevitel musí souhlasit se zveřejněním zranitelnosti až poté, co měla dotčená strana dostatek času na odstranění problému, a potvrdila, že problém byl vyřešen.
  • Objevitel musí souhlasit, aby byl zveřejněn s tím, že bude veřejně označen jako objevitel zranitelnosti a že jeho jméno nebo alias bude přidáno do Síně slávy.
  • Výbor Síně slávy může podle svého uvážení za výjimečných okolností učinit výjimku z kteréhokoli z těchto pravidel.