Digi- ja väestötietovirasto Kutsuohjelma

Kutsuohjelma | Digi- ja väestötietovirasto | Suomi.fi Bug Bounty

Digi- ja väestötietovirasto Suomi.fi Bug Bounty -haavoittuvuuspalkinto-ohjelma. Suomi.fi on verkkopalvelu, josta löytyvät julkiset palvelut ja tietoa eri tilanteisiin niin kansalaisille kuin yrityksillekin. Suomi.fi tarjoaa julkisen hallinnon asiakkaille pääsyn omiin tietoihin sekä sähköisiin viesteihin ja valtuuksiin helposti yhdestä paikasta. Palvelun turvallisuus on DVV:lle tärkeää, joten haluamme palkita ihmisiä, jotka tuovat tietoomme palvelusta löytyviä tietoturvaongelmia. Ohjelma on kutsuohjelma, joten halutessasi osallistua ohjelmaan voit pyytää mukaan pääsyä. Ohjelmaan pääseminen edellyttää sähköistä tunnistautumista sekä perussääntöjen hyväksynnän sähköisellä allekirjoituksella.

100€ - 30.000€

1.11.2019 klo 12.00 - 30.4.2020

Raportoi     Ohjelman säännöt     suomi.fi -sivut

Digi- ja väestötietovirasto lyhyesti

Digi- ja väestötietovirasto (DVV) edistää yhteiskunnan digitalisaatiota, turvaa tietojen saatavuutta ja tarjoaa palveluja asiakkaiden elämäntapahtumiin.

OHJELMAN PÄÄKOHDAT

Tietoturvatutkimuksen kohteena on:

  • Kohde on Suomi.fi-palvelu palvelimineen mukaan lukien palvelun tunnistusratkaisun (Suomi.fi-tunnistus) sekä valtuuksien (Suomi.fi-valtuudet) rajapinnat.

Ohjelmaan liittyvät toistaiseksi seuraavat rajoitukset. On mahdollista, että rajaukset muuttuvat/poistuvat ohjelman kuluessa, tästä tiedotetaan osallistujille erikseen.

  • Rekistereistä mukaan otetaan vain Digi- ja väestötietoviraston ”Henkilötiedot”. Muiden virastojen rekisterit rajataan tästä ohjelmasta pois.
  • Viestit-palvelu ja sen rajapinnat (https://www.suomi.fi/api/messages*) on rajattu pois ohjelmasta.
  • Suomi.fi-tunnistuksen ulkopuoliset tunnistuspalvelut, esimerkiksi pankkien tunnistuspalvelut, ovat mukana vain DVV-integraation osalta. Niitä käyttäen saa siis tunnistautua testatakseen esim. Henkilötiedot-rekisteriä, tai sitä miten tiedot ulkopuoliselta palveluntarjoajalta välitetään DVV:lle, mutta itse ulkopuolista tunnistuspalvelua ei saa testata.
  • Palautelomakkeet on rajattu ohjelman ulkopuolelle.

Toteutamme vastuullisia haavoittuvuuspalkinto-ohjelmia. Tämän johdosta sääntöjä on noudatettava. Luethan säännöt ennen ohjelmaan osallistumista. Tässä tärkeimpiä edellytyksiä ohjelmaan osallistumiseksi:

  • Ohjelmaan osallistuminen edellyttää että hakkerilla on tunnus Hackr.fi raportointiportaaliin ja että hakkeri on allekirjoittanut Hackr.fi NDA-sopimuksen. Kun olet luonut tunnuksen portaaliin, ole meihin yhteydessä hackr@hackr.fi -osoitteeseen, niin käynnistämme NDA-prosessin jonka jälkeen sinut voidaan luvittaa Tulorekisteri Bug Bounty -ohjelmaan.
  • Jos et ole tähän ohjelmaan vielä kutsuttu tai hyväksytty tietoturvatutkija, et voi raportoida havaintoja em. kautta emmekä siten välttämättä maksa palkkiota ilmoittamastasi havainnosta.
  • Käytä raportointiin vain raportointiportaalin lomaketta äläkä julkaise havaintoa muualla.
  • Tietoturvatutkimus ei saisi vaikuttaa testauksen kohteena olevan palvelun saatavuuteen. Jos olet epävarma, kysy lupaa Hackrfi-asiantuntijalta raportointiportaalin kautta.
  • Jos pääset murtautumaan palvelimelle, älä siirry palvelimesta muihin palvelimiin (ns. pivot) kysymättä lupaa Hackrfi:n asiantuntijoiden kautta. Näin siksi, että palvelin on jaetussa infrastruktuurissa.

Säännöissä on listattu tarkemmin asiat, joita tässä ohjelmassa ei ole sallittua tehdä, luethan ne huolella.

Palkkio maksetaan työkorvauksena ja sen maksaa Hackrfi. Palkkion maksamisen edellytyksenä on verokortin toimittaminen Hackrfi:lle.

Tietoturvallisuus on Digi- ja väestötietovirastolle tärkeää. Kiitämme, että saamme toimia kanssasi tietoturvallisuuden parantamiseksi. Kunnoitamme tähän käyttämääsi aikaa, ja toivomme myös sinun kunnioittavan meidän palvelu-, vaste- ja korjausaikojamme.

Ohjelman säännöt     Raportoi

Tilastot

Bugia ilmoitettu:
Palkkionmaksupäätöksiä:

Haluatko tietoturvatestaajaksi?

Luo tunnus raportointiportaaliimme, sieltä pystyt tekemään raportteja avoimiin ohjelmiin.