KETL Finance
ProdukterPriserFor byråerSikkerhet
Logg innPrøv gratis
Sikkerhet

Bug Bounty-program

ketl AS setter pris på sikkerhetsforskersamfunnets hjelp til å holde produktet trygt. Vi betaler belønning for ansvarlig avsløring av sikkerhetssårbarheter i KETL Finance.

⚠️ Programmet er i privat beta. Send rapporter direkte til security@ketl.no inntil offentlig lansering på HackerOne/Intigriti.

Ansvarlig avsløring

For å kvalifisere til belønning og safe harbor-beskyttelse, må du:

  • Rapportere direkte til oss — ikke offentliggjøre før vi har rettet.
  • Gi oss minst 90 dager til å rette kritiske / 120 dager for andre.
  • Ikke aksessere data utover hva som er nødvendig for å bevise funnet.
  • Ikke utføre DoS-angrep, sosial manipulering eller fysiske angrep.
  • Handle i god tro og ikke forstyrre produktionstjenester.

Vi lover: (1) bekreftelse innen 24 timer, (2) initial triaging innen 3 virkedager, (3) utbetaling innen 30 dager etter bekreftelse.

Belønningsstruktur

Kritisk
Inntil NOK 20 000

RCE, SQL-injeksjon, auth-bypass, lekkasje av kundedata på tvers av tenants

Høy
NOK 4 000–8 000

Stored XSS, IDOR som eksponerer sensitive data, CSRF på kritiske funksjoner

Medium
NOK 800–2 000

Reflektert XSS, info-avsløring, feilaktig tilgangskontroll (ikke-sensitiv data)

Lav
NOK 200–500

Manglende security headers, fingerprinting, rate limiting-mangler

Endelig belønning fastsettes etter vår vurdering av CVSS-score, utnyttbarhet og faktisk risiko. Duplikater og out-of-scope belønnes ikke.

Scope

MålStatusBeskrivelse
regnskap.ketl.cloudIn scopeHoved-applikasjon (web)
api.ketl.cloudIn scopeREST API og Cloud Functions
status.ketl.cloudIn scopeStatussiden
*.ketl.cloudIn scopeAlle subdomain under ketl.cloud
Firebase/Firestore (infrastruktur)Out of scopeGoogle-infrastruktur — rapporter til Google
Tredjeparts librariesOut of scopenpm-pakker vi bruker — rapporter til oppstrøm
DoS/DDoSOut of scopeKapasitetstesting er ikke i scope
Social engineeringOut of scopePhishing og manipulering er ikke i scope

Send rapport

Send en e-post til security@ketl.no med:

  • Beskrivelse av sårbarheten og potensiell impact
  • Trinn for å reprodusere (PoC)
  • Berørte URL-er og parametere
  • Ditt foretrukne navn/alias for Hall of Fame (valgfritt)
← Tilbake til Sikkerhetspraksis · Trust Center →
KETL Finance

Alt-i-ett økonomiplattform for norske bedrifter, frilansere og regnskapsbyråer.

AltinnPSD2PeppolSAF-TGRFS
Produkter
KETL AccountingKETL BankingKETL POSKETL Finance
For byråer
ByråportalenBytt til KETLPartnerprogramBook en demo
Selskap
PriserSikkerhetPresseKontakt
Ressurser
HjelpesenterStatusSLAVeikart
© 2026 KETL · BergenPersonvernVilkårSub-prosessorerStatus