Skip to content

מרכז אמון

אבטחה היא המוצר.

EntryBit שומר על הדלתות שלכם — ואנחנו מחזיקים את עצמנו באותו סטנדרט. הנה בדיוק איך.

שישה עמודים

הגנה לעומק, מהשבב ועד הענן.

כל שכבה נבדקת ומוקשחת באופן עצמאי. אף כשל בודד לא פוגע במערכת.

הצפנה בכל שכבה

AES-256-GCM בשכבת האחסון, TLS 1.3 בתעבורה, הפרדת מפתחות לכל לקוח דרך AWS KMS. תבניות אמצעי זיהוי נשמרות רק על המכשיר.

גישת Zero-Trust

SSO, SCIM, אכיפת MFA, והרשאות מינימליות כברירת מחדל. ללא חשבונות שירות קבועים.

ביקורת עמידה לשינויים

לוג אירועים עם שרשרת Hash. כל פעולת אדמין חתומה וניתנת לייצוא.

רשת פרטית

VPC פרטי, צי מכשירים עם mTLS, WAF בקצה.

Firmware חתום

כל עדכון Firmware לבקרים חתום קריפטוגרפית.

ניטור 24/7

SOC פעיל, תורנות כוננות, תגובה לאירועים תוך 15 דקות.

חשיפה אחראית

מצאתם פרצת אבטחה?

אנחנו מעודדים חשיפה אחראית. שלחו מייל ל-security@entrybit.net עם צעדי שחזור. המדיניות המלאה, ההיקף ותנאי המקלט המשפטי מופיעים להלן — עם קרדיט בהכרת תודה שלנו.

תוכנית חשיפת פגיעויות

דיווח על בעיית אבטחה.

אם מצאתם פגיעות אבטחה ב-EntryBit, אנא דווחו דרך הערוץ למטה. חוקרי אבטחה הפועלים בהתאם למדיניות הזו מתוך כוונות טובות מוזמנים כאן — הסעיפים להלן מפרטים בדיוק מה בהיקף, מה לא, איך אנחנו מגיבים, ואילו הגנות מקלט משפטי ניתנות.

בהיקף

מחקר, בדיקה וחשיפת פגיעויות מורשים כנגד הנכסים הבאים שבהפעלת EntryBit:

  • entrybit.net — אתר השיווק
  • app.entrybit.net — לוח הבקרה של הלקוח
  • api.entrybit.net — API ציבורי ו-webhooks
  • docs.entrybit.net — תיעוד למפתחים
  • *.entrybit.net — תת-דומיינים נוספים בהפעלת EntryBit
  • אפליקציות נייד שפורסמו על ידי EntryBit (iOS ו-Android)
  • Firmware שפורסם על ידי EntryBit עבור בקרים שבבעלותכם או שאתם מורשים לבדוק

מחוץ להיקף

הקטגוריות הבאות אינן נכללות בתוכנית. דיווחים בקטגוריות אלה ייסגרו ללא חקירה.

  • שירותי צד שלישי שבהם אנחנו משתמשים (AWS, Cloudflare, Stripe, ספקי אנליטיקה) — דווחו ישירות לספק
  • חשבונות לקוחות, נתונים או מכשירים שאינם בבעלותכם או שלא קיבלתם הרשאה מפורשת לבדוק
  • התקפות מניעת שירות (DoS / DDoS)
  • התקפות פיזיות על משרדי EntryBit, מרכזי נתונים או אתרי לקוחות
  • הנדסה חברתית של עובדים, קבלנים, לקוחות או שותפים של EntryBit
  • פלט סורק אוטומטי ללא נתיב ניצול מוכח
  • כותרות אבטחה חסרות, העדפות צפנים, banner grabbing — אלא אם משולב עם ניצול מוכח
  • Self-XSS, CSRF על נקודות קצה ללא השפעה (logout וכדומה), clickjacking על דפים ללא מצב רגיש
  • המלצות לרשומות אימות דוא"ל (SPF / DKIM / DMARC) — שלחו מייל ל-security@ ישירות במקרה של טעות
  • בעיות הגבלת קצב על נקודות קצה ציבוריות לקריאה ללא פגיעה מוכחת

מקלט משפטי

אם תפעלו בתום לב בהתאם למדיניות זו במהלך המחקר, EntryBit תתחייב:

  • לראות את המחקר כמורשה תחת חוק המחשבים 5755-1995 של מדינת ישראל, ה-US Computer Fraud and Abuse Act (CFAA), ה-UK Computer Misuse Act וחוקים דומים
  • לראות את המחקר כמחרוג מהגבלות בתנאי השימוש שלנו שיפריעו למחקר אבטחה
  • לוותר על תביעות DMCA נגדכם בגין עקיפת אמצעים טכנולוגיים הנדרשים למחקר
  • לא לנקוט, לתמוך או להפנות להליכים משפטיים אזרחיים או פליליים נגדכם הקשורים למחקר זה
  • לעבוד איתכם כדי להבין ולפתור את הבעיה במהירות, ולקרדט אתכם פומבית (בהסכמתכם) בהכרת התודה שלנו

מחקר בתום לב

מחקר בתום לב פירושו:

  • פעולה במסגרת ההיקף המוגדר למעלה
  • אי-גישה, שינוי, הוצאה או שמירה של נתוני לקוח מעבר למינימום הדרוש להדגמת הפגיעות
  • אי-ניצול מכוון של פגיעות מעבר לנדרש להוכחת היתכנות
  • דיווח מיידי ל-security@entrybit.net לאחר הגילוי
  • מתן זמן סביר לתיקון לפני חשיפה פומבית כלשהי (ראו חלון החשיפה למטה)
  • עמידה בכל החוקים החלים, כולל דיני פרטיות והגנת מידע

זמן תגובה (SLA)

אנחנו מאשרים דיווחים במסגרת היעדים הבאים. זמני התיקון הם יעדים — תיקונים מורכבים או תיאום הטמעה אצל לקוחות עשויים להאריך אותם; נתקשר מראש.

  • קריטי (הרצת קוד מרחוק, עקיפת אימות, חשיפת נתונים רחבה) — אישור תוך 24 שעות, יעד תיקון 7 ימים
  • גבוה (העלאת הרשאות, גישה לנתונים רגישים של לקוח יחיד, XSS מתמשך עם השפעה על סשן) — אישור תוך 72 שעות, יעד תיקון 30 ימים
  • בינוני (XSS מוגבל, CSRF עם השפעה, עקיפת הגבלת קצב עם נתיב ניצול) — אישור תוך 7 ימים, יעד תיקון 90 ימים
  • נמוך (חשיפת מידע ללא נתיב ניצול מעשי, סטיות best-practice) — אישור תוך 14 ימים, תיקון best-effort

חשיפה מתואמת

אנחנו פועלים במודל חשיפה מתואמת. חלון ברירת המחדל הוא 90 ימים מרגע הדיווח הראשוני. לתיקונים מורכבים, הטמעה אצל לקוחות או תיאום שרשרת אספקה, אנחנו עשויים להציע הארכה עם תאריך יעד מפורש. לבעיות קריטיות תחת ניצול פעיל, נבקש הארכה ארוכה יותר; לבעיות שוליות נפרסם מהר יותר. פרסום משותף מוקדם מתקבל בברכה בהסכמה הדדית.

פורמט דיווח מועדף

דיווח שימושי כולל:

  • תקציר — שורה אחת המתארת את ההשפעה
  • הנכס המושפע — URL, תכונה, גרסה או Build ID
  • שלבי שחזור — ממוספרים, מפורשים, ידידותיים להעתק-הדבק
  • התנהגות צפויה מול התנהגות בפועל
  • השפעה — מה תוקף יכול לעשות עם זה?
  • הצעה להקלה (לא חובה, מתקבל בברכה)
  • שם הקרדיט המועדף עליכם (או בקשה לאנונימיות)

יצירת קשר

שלחו מייל ל-security@entrybit.net. איש הקשר הקריא-למכונה מתפרסם ב-/.well-known/security.txt לפי RFC 9116. חוקרים עם דיווחים שהתקבלו מפורסמים, בהסכמתם, בהכרת התודה שלנו.

המדיניות הזו מעובדת מתבנית disclose.io Core (CC0). אנגלית היא שפת המקור הסמכותית; תרגומים מיועדים להפניה בלבד. זוהי תוכנית חשיפה, לא תוכנית תגמולים (bug-bounty) בתשלום.

אמון ברמה ארגונית
לכל דלת.

צוות האבטחה שלנו ישמח ללוות אתכם בסקירת הארכיטקטורה, הנהלים וראיות הביקורת.