Skip to content

Security: simplified-coding/lesson-editor

SECURITY.md

Simplified Coding

Security Policy

Authored by Odysseus Kirikopoulos

Ελληνική έκδοση παρακάτω

Introduction

This Security Policy has been authored by the Simplified Coding Team, to outline the security protocols the project is taking to ensure the confidentiality, integrity, and availability of information for both the project and its users.

Access Control

User authentication and authorization procedures

The Simplified Coding website currently does not have user authentication capabilities, since it is accessible to the general public.

Password Policies

The Simplified Coding Team uses a shared password manager to store all passwords that grant access to all software we use to run the project and its social media presence. The team members are responsible for storing all of their credentials in the password manager, either shared with everyone in the team or private to the individual. Simplified Coding is not responsible for any password leaks caused by the password management software.

Access levels and permissions

Simplified Coding contributors are split into two access levels. The first level is comprised of The Simplified Coding Team, which has full control over the project and the software used to develop it. The second level is comprised of outside collaborators who wish to contribute to the project. They have permission to fork the project, make changes, and request the addition of them from The Simplified Coding Team. They also can create issues through the used software to request new features and fix non-security-related bugs. This level is accessible to the general public.

Data Protection

Guidelines on handling sensitive data

By default, Simplified Coding does not request any sensitive data from its users. Three optional services are offered to the users, where sensitive data needs to be collected to provide the service. These include newsletters, chat-based platforms, and certifications. Simplified Coding is responsible for handling the received data and the secure transmission of it when conducted by its platforms. Simplified Coding is not responsible for handling sensitive data, when these are received or/and held from third-party platforms, but is responsible for choosing a trusted platform.

When The Simplified Coding Team receives sensitive data, such as an email address or full name of a user, an authorized member is responsible for handling the data to register the user to the service. For example, when a certification exam has been completed by a user, the exam is graded, and passed, an authorized member will export the test taker’s name and email address to issue a certificate. If the test taker fails the exam or the certificate issuing process has been completed, their data will be safely deleted from the member’s machine and third-party software. In this example, the data will be safely stored in the Simplified Coding Certification Manager, for verification of the certification’s authenticity.

Incident Response

Data leaks

If your sensitive data is leaked, we will contact you within 24 hours from when we were made aware of the incident to inform you what data was leaked. A security report will be released when the incident has been resolved. A CVE will be created and reported by the appropriate authorities. Details of the incident will not be disclosed and will be classified while an investigation is underway. In the presence of such an incident, The Simplified Coding Team will temporarily shut down the affected components, if possible, to preserve the security of users’ devices.

Project compromise

By project compromise, we define unauthorized access to our website's content, DNS configuration, email, and other services. From the moment we were made aware of the incident, we will immediately contact our partners to regain access to our systems. Furthermore, we will be temporarily shutting down our services if we can, until the matter is resolved.

Compliance

Simplified Coding is mainly targeted in Greece and Cyprus, both member states of the European Union. Therefore, Simplified Coding is under the General Data Protection Regulation of the EU. Simplified Coding is fully compliant with the GDPR and the corresponding laws in the countries.

Simplified Coding

Πολιτική Ασφαλείας

Συγγραφέας: Οδυσσέας Κηρυκόπουλος

English version above

Εισαγωγή

Αυτή η Πολιτική Ασφαλείας έχει συνταχθεί από την Ομάδα του Simplified Coding, για να περιγράψει τα πρωτόκολλα ασφαλείας που λαμβάνει το έργο για να διασφαλίσει την εμπιστευτικότητα, την ακεραιότητα και τη διαθεσιμότητα των πληροφοριών τόσο για το έργο όσο και για τους χρήστες του.

Έλεγχος πρόσβασης

Διαδικασίες αυθεντικοποίησης και εξουσιοδότησης χρήστη

Ο ιστότοπος προς το παρόν δεν διαθέτει δυνατότητες αυθεντικοποίησης χρήστη, καθώς είναι προσβάσιμος στο ευρύ κοινό.

Πολιτικές Κωδικών Πρόσβασης

Η Ομάδα του Simplified Coding χρησιμοποιεί έναν διαχειριστή κωδικών πρόσβασης για την αποθήκευση όλων των κωδικών που παρέχουν πρόσβαση στο λογισμικό που χρησιμοποιούμε για την ανάπτυξη του έργου και την παρουσία του στα μέσα κοινωνικής δικτύωσης. Τα μέλη της ομάδας είναι υπεύθυνα για την αποθήκευση των διαπιστευτηρίων τους στον διαχειριστή κωδικών πρόσβασης, είτε κοινοποιημένα σε όλους στην ομάδα είτε ιδιωτικά για το κάθε άτομο. Το Simplified Coding δεν ευθύνεται για τυχόν διαρροές κωδικών πρόσβασης που προκαλούνται από το λογισμικό διαχείριση.

Επίπεδα πρόσβασης και δικαιώματα

Οι συνεισφέροντες Simplified Coding χωρίζονται σε δύο επίπεδα πρόσβασης. Το πρώτο επίπεδο αποτελείται από την Ομάδα του Simplified Coding, η οποία έχει τον πλήρη έλεγχο του έργου και του λογισμικού που χρησιμοποιείται για την ανάπτυξή του. Το δεύτερο επίπεδο αποτελείται από εξωτερικούς συνεργάτες που επιθυμούν να συνεισφέρουν στο έργο. Έχουν άδεια να κάνουν “Fork” το έργο, να κάνουν αλλαγές και να ζητήσουν την προσθήκη τους από την Ομάδα του Simplified Coding. Μπορούν επίσης να δημιουργήσουν “issues” μέσω του χρησιμοποιούμενου λογισμικού για να ζητήσουν νέες δυνατότητες και να διορθώσουν σφάλματα που δεν σχετίζονται με την ασφάλεια. Αυτό το επίπεδο είναι προσβάσιμο στο ευρύ κοινό.

Προστασία δεδομένων

Οδηγίες για το χειρισμό ευαίσθητων δεδομένων

Από προεπιλογή, το Simplified Coding δεν ζητά ευαίσθητα δεδομένα από τους χρήστες της. Υπάρχουν τρεις προαιρετικές υπηρεσίες που προσφέρονται στους χρήστες, όπου πρέπει να συλλέγονται ευαίσθητα δεδομένα για την παροχή της υπηρεσίας. Το Simplified Coding είναι υπεύθυνο για το χειρισμό των λαμβανόμενων δεδομένων και την ασφαλή μετάδοσή τους όταν διεξάγεται από τις πλατφόρμες τoυ. Το Simplified Coding δεν είναι υπεύθυνο για το χειρισμό ευαίσθητων δεδομένων, όταν αυτά λαμβάνονται ή/και διατηρούνται από πλατφόρμες τρίτων, αλλά είναι υπεύθυνο για την επιλογή μιας αξιόπιστης πλατφόρμας.

Όταν η Ομάδα του Simplified Coding λαμβάνει ευαίσθητα δεδομένα, όπως μια διεύθυνση ηλεκτρονικού ταχυδρομίου ή το πλήρες όνομα ενός χρήστη, ένα εξουσιοδοτημένο μέλος είναι υπεύθυνο για το χειρισμό των δεδομένων για την εγγραφή του χρήστη στην υπηρεσία. Για παράδειγμα, όταν μια εξέταση πιστοποίησης έχει ολοκληρωθεί και βαθμολογηθεί, ένα εξουσιοδοτημένο μέλος θα εξάγει το όνομα και τη διεύθυνση ηλεκτρονικού ταχυδρομείου του εξεταζόμενου για την έκδοση πιστοποιητικού. Εάν ο εξεταζόμενος αποτύχει στην εξέταση ή έχει ολοκληρωθεί η διαδικασία έκδοσης πιστοποιητικού, τα δεδομένα του θα διαγραφούν με ασφάλεια από το μηχάνημα του μέλους και το λογισμικό τρίτω. Σε αυτό το παράδειγμα, τα δεδομένα θα αποθηκευτούν με ασφάλεια στο Simplified Coding Certification Manager, για επαλήθευση της γνησιότητας της πιστοποίησης.

Αντιμετώπιση περιστατικού

Διαρροές δεδομένων

Εάν διαρρεύσουν ευαίσθητα δεδομένα σας, θα επικοινωνήσουμε μαζί σας εντός 24 ωρών από τη στιγμή που ενημερωθήκαμε για το συμβάν για να σας ενημερώσουμε ποια δεδομένα σας διέρρευσαν. Μια αναφορά ασφαλείας θα δημοσιευτεί όταν επιλυθεί το περιστατικό. Θα δημιουργηθεί ένα CVE και θα αναφερθεί το περιστατικό στις αρμόδιες αρχές. Λεπτομέρειες για το περιστατικό δεν θα δημοσιευθούν ενώ διεξάγεται έρευνα. Στην παρουσία ενός τέτοιου περιστατικού, η Ομάδα του Simplified Coding θα απενεργοποιήσει προσωρινά τη λειτουργία των επηρεαζόμενων υπηρεσιών, εάν είναι δυνατόν, για να διαφυλαχτή η ασφάλεια των συσκευών των χρηστών.

Παραβίαση του έργου

Με “Παραβίαση του έργου”, ορίζουμε την μη εξουσιοδοτημένη πρόσβαση στον ιστότοπό μας, στη διαμόρφωση του DNS, στις διευθήνσεις ηλεκτρονικού ταχειδρομίου και σε άλλες υπηρεσίες. Από τη στιγμή που θα ενημερωθούμε για το συμβάν, θα επικοινωνήσουμε αμέσως με τους συνεργάτες μας για να αποκτήσουμε ξανά πρόσβαση στα συστήματά μας. Επιπλέον, θα διακόψουμε προσωρινά τις υπηρεσίες μας, εάν μπορούμε, μέχρι να επιλυθεί το ζήτημα.

Συμμόρφωση

Το Simplified Coding λειτουργεί κυρίως στην Ελλάδα και την Κύπρο, τα οποία είναι κράτη μέλη της Ευρωπαϊκής Ένωσης. Ως εκ τούτου, το Simplified Coding υπάγεται στον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) της Ε.Ε. Το Simplified είναι πλήρως συμβατή με το GDPR και τους αντίστοιχους νόμους των χωρών.

There aren’t any published security advisories