Bezpieczeństwo i zgłaszanie podatności

STARCRED.PL traktuje bezpieczeństwo poważnie. Jeśli zauważysz potencjalną podatność, błąd lub inną kwestię bezpieczeństwa, prosimy o odpowiedzialne zgłoszenie — sprawdzimy je i w razie potrzeby wprowadzimy poprawki.

Jak zgłosić problem

Co dołączyć do zgłoszenia

  • opis problemu i potencjalny wpływ (co teoretycznie mógłby osiągnąć atakujący);
  • dokładne kroki odtworzenia (repro steps);
  • URL-e oraz przykłady żądań/odpowiedzi (jeśli to możliwe);
  • zrzuty ekranu lub logi (bez danych wrażliwych);
  • Twoje dane kontaktowe, abyśmy mogli dopytać o szczegóły.

Czego prosimy nie robić

  • Nie podejmuj działań, które mogą zakłócić działanie serwisu (np. DoS/DDoS, masowe skanowanie, brute force).
  • Nie uzyskuj, nie pobieraj i nie publikuj danych osobowych ani innych danych wrażliwych.
  • Nie modyfikuj i nie usuwaj danych, jeśli nie jest to absolutnie konieczne do potwierdzenia problemu.
  • Nie wykorzystuj podatności w sposób złośliwy i nie ujawniaj publicznie szczegółów, zanim uzgodnimy termin ujawnienia (coordinated disclosure).

Nasz proces reakcji

  • Staramy się potwierdzić otrzymanie zgłoszenia w rozsądnym terminie.
  • Jeśli zgłoszenie jest wystarczająco szczegółowe, wykonujemy weryfikację i triage.
  • W razie potrzeby wdrażamy poprawkę i możemy uzgodnić skoordynowane ujawnienie.

Ochrona danych i prywatność

Prosimy pamiętać: nie przesyłaj danych wrażliwych (np. PESEL, numery rachunków bankowych, numery umów). Nasze podejście do prywatności opisujemy w Polityce prywatności.

Operator serwisu

Operator serwisu: FINULIO, SIA
Reg. nr: 52403047441
Adres siedziby: Rēzekne, Dārzu iela 30A-9, LV-4601, Łotwa

Zobacz także: Kontakt, Polityka prywatności, Regulamin.

security.txt

Publikujemy informacje kontaktowe i zasady zgłaszania podatności w pliku security.txt zgodnie z dobrymi praktykami: /.well-known/security.txt. Jeżeli nie możesz skorzystać z powyższego linku, plik może być dostępny także pod: /security.txt.

Jak zgłosić podatność (najkrócej)

  1. Wyślij zgłoszenie na security@starcred.pl (w sprawach ogólnych: info@starcred.pl).
  2. Dołącz: krótki opis + wpływ, kroki odtworzenia, URL-e oraz (jeśli możesz) przykładowe żądania/odpowiedzi. Nie przesyłaj danych wrażliwych.
  3. Działaj odpowiedzialnie: bez DoS/DDoS, bez masowego skanowania, bez pobierania danych; nie ujawniaj publicznie szczegółów przed uzgodnieniem (coordinated disclosure).

Ostatnia aktualizacja: 11 stycznia 2026 r.