Sikkerhet og ansvarlig varsling

Slik rapporterer du

Send e-post til security@apier.no. Klartekst er helt greit. Krypterte innsendinger (PGP / age) er velkomne hvis du foretrekker det — spør i den første e-posten, så publiserer vi den tilhørende offentlige nøkkelen på denne siden før dialogen starter. Ta med reproduksjonssteg, berørt URL eller endepunkt, og tidsstempler dersom testtrafikk skal kunne spores i loggene våre.

I omfang

• Apier.no sine produksjonsflater: apier.no og alle underdomener vi kontrollerer.
• /v1/ API-et: autentisering, autorisasjon (API-nøkkel + håndheving av scope), ratebegrensning, RLS og integritet i responsformatet.
• Sandkasseflaten: /api/v1/sandbox/* — brudd på determinisme, lekkasje av hemmeligheter i mock-data, eller feilklassifisering i feilsimulatoren.
• Oppdagelsesfiler: /llms.txt, /openapi.json, /workflows.json, /.well-known/data-sovereignty, /.well-known/security.txt.

Utenfor omfang

• Tredjeparts norske offentlige tjenester (Altinn 3, Maskinporten, Brønnøysund, Skatteetaten, NAV) — rapporter direkte til disse tjenestene. Vi videreformidler gjerne funn hvis det er nyttig.
• Underleverandørflater (Supabase, Vercel, Resend, Sentry, Plausible) — eskaler via deres egne programmer. Apiers konfigurasjon av disse tjenestene ER i omfang.
• Funn som krever at en innlogget bruker klikker på en skadelig lenke fra et domene vi ikke kontrollerer (ingen clickjacking-lignende rapporter uten en konkret konsekvensvei).
• Tjenestenekt (DoS), brute force, automatisert skraping eller høyvolumstrafikk mot et produksjonsendepunkt.
• Manipulering (social engineering) av Apiers ansatte, konsulenter eller kunder.

Trygg havn

Sikkerhetsforskning utført i god tro innenfor denne policyen er autorisert. Vi forfølger ikke sivil- eller strafferettslige tiltak mot forskere som holder seg innenfor flatene i omfang ovenfor, unngår personvernbrudd og driftsforstyrrelser, ikke henter ut data utover det minimum som trengs for å vise konsekvens, og rapporterer til security@apier.no før offentliggjøring.

Er du usikker på om testingen din krysser grensen, spør først — vi vil heller avgrense en test sammen med deg enn at et nyttig funn forblir urapportert.

Koordinert offentliggjøring

Vi følger et koordineringsvindu på 90 dager for offentliggjøring. Etter at du har rapportert et gyldig funn, ber vi om inntil 90 dager til å levere en rettelse før offentliggjøring. Vi holder deg oppdatert skriftlig; klarer vi ikke å levere innen 90 dager, forklarer vi hvorfor og foreslår en utvidet tidslinje sammen med deg. Kritiske funn som berører kundedata utbedres innen 30 dager.

Offentliggjøring skjer i fellesskap når begge parter er enige om at rettelsen er levert og at oppdateringsvinduet for berørte kunder er rimelig. Der det passer, publiserer vi et oppsummerende notat på denne siden etter offentliggjøring.

Hva vi forplikter oss til

• 72 timer: bekrefte mottak av rapporten din og hvem som eier triagen.
• 7 dager: svare med reproduksjonsstatus, alvorlighetsvurdering og et mål for utbedringsvindu.
• 30 dager: levere en rettelse for funn klassifisert som kritiske (datalekkasje, autentiseringsomgåelse, RLS-rømming, integritetsbrudd på revisjonsloggen eller regelevalueringen).
• 90 dager: ytre grense for koordineringsvinduet for ethvert gyldig funn, med en skriftlig unntaksvei dersom en rettelse legitimt trenger mer tid.

Anerkjennelse

Vi driver ingen betalt bug bounty i dag. Vi anerkjenner forskere hvis rapporter førte til en rettelse — frivillig, med kreditering slik du ønsker, og pseudonymer er velkomne. Fortell oss hvordan du vil krediteres når du sender e-post til security@apier.no, så bekrefter vi anerkjennelsen når rettelsen er på plass.

Oppsummering

Send e-post til security@apier.no. Vi bekrefter innen 72 timer, svarer innen 7 dager, retter kritiske funn innen 30 dager, og sikter mot et koordineringsvindu på 90 dager. Forskning i god tro er beskyttet av trygg havn. Maskinlesbare kontaktdata finnes på /.well-known/security.txt.