Regulamin świadczenia usług – The SpyBolt

Administratorem serwisu i wykonawcą usług jest firma The SpyBolt, z siedzibą w Kielcach przy ul. Sienkiewicza 22. Założycielem i osobą odpowiedzialną za wszystkie procesy techniczne jest Karol Wiśniewski. Niniejszy regulamin określa zasady współpracy przy audytach kodu źródłowego oraz wdrażaniu narzędzi typu DevSecOps. Korzystając z naszej strony lub zamawiając bezpłatną wycenę audytu, akceptujesz te postanowienia w całości. Nie stosujemy skomplikowanego języka prawniczego, bo zależy nam na jasnych relacjach z programistami i właścicielami software house'ów. Działamy na rynku od 2017 roku i obsłużyliśmy już 83 projekty IT o różnej skali trudności. Regulamin jest formą umowy między Twoją firmą a naszym zespołem inżynierów. Każde zapytanie wysłane przez formularz kontaktowy traktujemy jako zaproszenie do negocjacji technicznych i ustalenia zakresu prac. Zastrzegamy sobie prawo do odmowy współpracy, jeśli projekt nie pasuje do naszej specjalizacji inżynierskiej. Skupiamy się wyłącznie na bezpieczeństwie kodu, unikając lania wody i zbędnych ogólników biznesowych.

Świadczymy usługi z zakresu bezpieczeństwa IT, w tym audyty manualne i automatyczne. Abyśmy mogli rzetelnie sprawdzić Twój projekt, musisz zapewnić nam dostęp do repozytorium kodu. Zazwyczaj wystarcza nam rola obserwatora na czas trwania prac audytowych. Raport techniczny z pełną listą podatności dostarczamy zazwyczaj w ciągu 8 dni roboczych od otrzymania wszystkich niezbędnych dostępów. Nie zajmujemy się pisaniem aplikacji od zera ani ich marketingiem. Skupiamy się wyłącznie na bezpieczeństwie i blokowaniu wycieków kluczy API oraz danych klientów. Jeśli Twoja firma korzysta z bibliotek zewnętrznych, sprawdzimy ich 156 wersji w kilka minut przy użyciu skanerów SCA. Pamiętaj, że audyt startowy obejmuje zazwyczaj 3 wybrane repozytoria, chyba że ustalimy inny zakres w rozmowie wstępnej. Nasz 4-osobowy zespół pracuje w systemie sprintowym, co pozwala nam na szybką reakcję i konkretne wyniki. Każda usługa jest dokumentowana raportem PDF, który zawiera numery linii kodu z błędami i instrukcję ich łatania krok po kroku.

W świecie technologii nie istnieje pojęcie całkowitego bezpieczeństwa. Naszym zadaniem jest zminimalizowanie ryzyka ataku poprzez wykrycie luk, zanim zrobią to osoby niepowołane. Nie dajemy gwarancji, że system będzie w 99.4% odporny na każdą nową podatność, która może pojawić się w przyszłości. Odpowiadamy za rzetelność przeprowadzonego skanu i poprawność wskazówek naprawczych zawartych w raporcie. Nie bierzemy odpowiedzialności za skutki decyzji Twojego zespołu programistycznego, jeśli postanowią oni zignorować błędy oznaczone przez nas jako krytyczne. Nasza rola kończy się na przekazaniu wiedzy technicznej i narzędzi blokujących błędy. Skupiamy się na twardych parametrach, takich jak wykrywanie SQL Injection czy błędnej konfiguracji uprawnień. Nie odpowiadamy za ewentualne przestoje w pracy Twoich serwerów, jeśli wynikają one z samodzielnej i błędnej konfiguracji narzędzi dokonanej przez Twoich pracowników bez konsultacji z nami. Działamy rzetelnie, opierając się na faktach i aktualnych bazach luk CVE.

Poufność Twojego kodu źródłowego jest dla nas fundamentem zaufania. Przed rozpoczęciem jakichkolwiek prac inżynierskich, takich jak analiza bibliotek czy audyt architektury, podpisujemy twardą umowę NDA. Żaden fragment Twojego oprogramowania nie jest przekazywany osobom trzecim ani zewnętrznym podwykonawcom. Pracujemy wyłącznie w obrębie naszego stałego zespołu z Kielc: Karol, Marek, Andrzej i Tomasz. Twoje dane i raporty techniczne przechowujemy na szyfrowanych dyskach z ograniczonym dostępem fizycznym. Po zakończeniu zlecenia i potwierdzeniu przez Ciebie odbioru wyników, mamy 14 dni na usunięcie roboczych kopii Twojego kodu z naszych stacji roboczych. Raporty końcowe przesyłamy za pomocą bezpiecznych i szyfrowanych kanałów komunikacji. Szanujemy Twoją własność intelektualną i wiemy, że bezpieczeństwo informacji to podstawa w branży IT. Jeśli Twój projekt wymaga dodatkowych zapisów o poufności, jesteśmy otwarci na ich dopisanie do konkretnej umowy projektowej przed startem pierwszego skanowania.