Väestörekisterikeskus Kutsuohjelma

Kutsuohjelma | Väestörekisterikeskus | Suomi.fi Bug Bounty

Väestörekisterikeskuksen Suomi.fi Bug Bounty -haavoittuvuuspalkinto-ohjelma. Väestörekisterikeskuksen Suomi.fi Bug Bounty -haavoittuvuuspalkinto-ohjelma. Suomi.fi on verkkopalvelu, josta löytyvät julkiset palvelut ja tietoa eri tilanteisiin niin kansalaisille kuin yrityksillekin. Suomi.fi tarjoaa julkisen hallinnon asiakkaille pääsyn omiin tietoihin sekä sähköisiin viesteihin ja valtuuksiin helposti yhdestä paikasta. Palvelun turvallisuus on Väestörekisterikeskukselle tärkeää, joten haluamme palkita ihmisiä, jotka tuovat tietoomme palvelusta löytyviä tietoturvaongelmia. Ohjelma on kutsuohjelma, joten halutessasi osallistua ohjelmaan voit pyytää mukaan pääsyä. Ohjelmaan pääseminen edellyttää sähköistä tunnistautumista sekä perussääntöjen hyväksynnän sähköisellä allekirjoituksella.

100€ - 30.000€

12.2.2018 - 12.8.2018

Väestörekisterikeskus lyhyesti

Väestörekisterikeskus edistää yhteiskunnan digitalisointia ja sähköistä asiointia Suomessa. Tarjoamme väestötietojärjestelmään pohjautuvia tietopalveluja viranomaisille sekä yrityksille ja vastaamme myös varmennetun sähköisen asioinnin tuottamisesta Suomessa. Tuotamme ja kehitämme Suomi.fi-palveluja kansalaisten, julkisen hallinnon ja yritysten käyttöön. Vastuullamme olevien kokonaisuuksien häiriötön ja sujuva toiminta on yhteiskunnalle elintärkeää.

OHJELMAN PÄÄKOHDAT

Tietoturvatutkimuksen kohteena on:

  • www.suomi.fi-palvelu palvelimineen mukaan lukien palvelun tunnistusratkaisun rajapinta (Suomi.fi-tunnistus).

Ohjelmaan liittyvät toistaiseksi seuraavat rajoitukset. On mahdollista, että rajaukset muuttuvat/poistuvat ohjelman kuluessa, tästä tiedotetaan osallistujille erikseen.

  • suomi.fi domainin muut palvelut, alidomainit ja siellä olevat palvelimet eivät kuulu ohjelmaan (esim. dev.suomi.fi)
  • Rekistereistä mukaan otetaan vain Väestörekisterikeskuksen ”Henkilötiedot”. Muiden virastojen rekisterit rajataan tästä ohjelmasta pois.
  • Viestit-palvelu on rajattu pois ohjelmasta.
  • Suomi.fi-tunnistuksen ulkopuoliset tunnistuspalvelut, esimerkiksi pankkien tunnistuspalvelut, ovat mukana vain VRK-integraation osalta. Niitä käyttäen saa siis tunnistautua testatakseen esim. Henkilötiedot-rekisteriä, tai sitä miten tiedot ulkopuoliselta palveluntarjoajalta välitetään VRK:lle, mutta itse ulkopuolista tunnistuspalvelua ei saa testata.
  • Palautelomakkeet on rajattu ohjelmasta ulos, sillä kyse on tuotantojärjestelmästä.

Toteutamme vastuullisia haavoittuvuuspalkinto-ohjelmia. Tämän johdosta sääntöjä on noudatettava. Luethan säännöt ennen ohjelmaan osallistumista. Tässä tärkeimpiä edellytyksiä ohjelmaan osallistumiseksi:

  • Ohjelma on kutsuohjelma, johon voit hakea mukaan. Ennen mahdollista hyväksymistä sinun tulee tunnistautua sähköisesti sekä hyväksyä säännöt Visma Sign -palvelussa.
  • Jos sinut hyväksytään mukaan, saat tästä henkilökohtaisen ilmoituksen.
  • Raportointi tapahtuu kirjautumalla raportointiportaaliimme, jossa olevaan raportointisivuun saat oikeudet kun sinut on hyväksytty ohjelmaan.
  • Jos et ole tähän ohjelmaan vielä kutsuttu tai hyväksytty tietoturvatutkija, et voi raportoida havaintoja em. kautta emmekä siten välttämättä maksa palkkiota ilmoittamastasi havainnosta.
  • Käytä raportointiin vain raportointiportaalin lomaketta äläkä julkaise havaintoa muualla.
  • Tietoturvatutkimus ei saisi vaikuttaa testauksen kohteena olevan palvelun saatavuuteen. Jos olet epävarma, kysy lupaa Hackrfi-asiantuntijalta raportointiportaalin kautta.
  • Jos pääset murtautumaan palvelimelle, älä siirry palvelimesta muihin palvelimiin (ns. pivot) kysymättä lupaa Hackrfi:n asiantuntijoiden kautta. Näin siksi, että palvelin on jaetussa infrastruktuurissa.

Säännöissä on listattu tarkemmin asiat, joita tässä ohjelmassa ei ole sallittua tehdä, luethan ne huolella.

Palkkio maksetaan työkorvauksena ja sen maksaa Hackrfi. Palkkion maksamisen edellytyksenä on verokortin toimittaminen Hackrfi:lle.

Tietoturvallisuus on Väestörekisterikeskukselle tärkeää. Kiitämme, että saamme toimia kanssasi tietoturvallisuuden parantamiseksi. Kunnoitamme tähän käyttämääsi aikaa, ja toivomme myös sinun kunnioittavan meidän palvelu-, vaste- ja korjausaikojamme.

Hae pääsyä ohjelmaan     Ohjelman säännöt     Raportoi

Tilastot

Bugia ilmoitettu:
Palkkionmaksupäätöksiä:

Haluatko tietoturvatestaajaksi?

Luo tunnus raportointiportaaliimme, sieltä pystyt tekemään raportteja avoimiin ohjelmiin.