Vulnerability Disclosure Policy

מדיניות גילוי אחראי

MediFlow מעריכה את תרומתם של חוקרי אבטחה המסייעים לנו לשמור על פרטיות ואבטחת נתוני המטופלים. מדיניות זו מגדירה כיצד לדווח על ממצאי אבטחה ומה מצפה לכם בתמורה.

Safe Harbor — הגנה משפטית

מחקר אבטחה המבוצע בתאימות לתנאים המפורטים במדיניות זו לא ייחשב כעבירה על פי חוק המחשבים, התשנ"ה-1995 (Computer Law 5755-1995) ולא ינקטו כנגדכם הליכים משפטיים.

הגנה זו מותנית בציות מלא לתנאי מדיניות זו, לרבות: אי-גישה לנתוני משתמשים אמיתיים, אי-שיבוש שירות, ודיווח מיידי על כל ממצא.

היקף המחקר (Scope)

בתחום ✓ (In Scope)

●mediflow.co.il — אתר ראשי ולוח בקרה
●api.mediflow.co.il — ממשקי API
●app.mediflow.co.il — יישום הלקוח
●אפליקציה לנייד (iOS/Android) — גרסה פעילה

מחוץ לתחום ✗ (Out of Scope)

●תשתיות של צדדים שלישיים (Supabase, Cloudflare, AWS)
●ממצאים דורשים גישה פיזית למכשיר המשתמש
●התקפות Social Engineering, Phishing, Vishing
●DoS / DDoS ו-Brute Force
●ממצאים ב-Dependency שלא פרסמנו תיקון עבורם
●דומיינים/נכסים שאינם בבעלות MediFlow

כללי מחקר (Rules of Engagement)

השתמשו רק בחשבונות בדיקה שיצרתם עצמכם — אל תיגעו בנתוני משתמשים אמיתיים.

אל תשבשו שירות או תפגעו בזמינות המערכת (ללא DoS/DDoS).

אל תגלו ממצאים לצד שלישי לפני שקיבלתם אישורנו מפורש.

תעדו כל שלב בצורה ברורה — PoC, payloads, screenshots.

דווחו בהקדם האפשרי עם כל המידע הנחוץ לשחזור.

אין לגשת, להוריד, לשנות או למחוק נתוני ייצור.

תגמול לפי רמת חומרה (Bug Bounty)

רמת חומרה	תגמול	דוגמאות
קריטיCritical	₪5,000 – ₪15,000	RCE, SQL Injection, גישה ישירה לנתוני מטופלים, עקיפת אימות שלמה
גבוהHigh	₪1,000 – ₪5,000	XSS מתמיד, IDOR לנתונים רגישים, הסלמת הרשאות, חשיפת מפתחות API
בינוניMedium	₪200 – ₪1,000	CSRF, Open Redirect, SSRF מוגבל, חשיפת מידע שאינו רגיש
נמוךLow	Hall of Fame	ממצאי הגדרה, Best Practice violations, ממצאים עם השפעה נמוכה

* סכומי התגמול ניתנים לשיקול דעת בהתאם לאיכות הדיווח, ייחודיות הממצא ועמידה בכללי המחקר.

יעדי זמן תגובה (Response SLA)

אישור קבלה24 שעות

תיוג ראשוני72 שעות

תיקון קריטיעד 30 יום

תיקון גבוה/בינוניעד 60 יום

תיקון נמוךעד 90 יום

תהליך הדיווח (Disclosure Process)

1
שלחו דיווח
שלחו מייל מפורט ל-security@mediflow.co.il עם כותרת: [VDP] <תיאור קצר>. כללו PoC, שלבי שחזור ורמת חומרה מוצעת.
2
אישור קבלה
נשיב תוך 24 שעות עם מספר מעקב ייחודי לדיווח שלכם.
3
תיאום גילוי
נעבוד יחד לאימות הממצא ותיקונו. נעדכן אתכם בכל שלב מהותי.
4
תגמול ופרסום
לאחר תיקון ואימות, נעניק את התגמול המוסכם ונוסיף אתכם ל-Hall of Fame (אלא אם ביקשתם אנונימיות).

Summary for Security Researchers

MediFlow operates an Israeli medical clinic SaaS handling sensitive patient data. We take security seriously and welcome responsible disclosure from the research community.

Report to: security@mediflow.co.il
Coordinated disclosure — 90-day deadline before public release
Safe harbor under Israeli Computer Law 5755-1995
Bug bounty: ₪200 – ₪15,000 depending on severity
Response within 24h, triage within 72h
PGP key available on request

יצירת קשר

שאלות בנוגע למדיניות זו: security@mediflow.co.il

Hall of Fame מדיניות פרטיות חזרה לדף הבית

Safe Harbor — הגנה משפטית

היקף המחקר (Scope)

בתחום ✓ (In Scope)

●mediflow.co.il — אתר ראשי ולוח בקרה
●api.mediflow.co.il — ממשקי API
●app.mediflow.co.il — יישום הלקוח
●אפליקציה לנייד (iOS/Android) — גרסה פעילה

מחוץ לתחום ✗ (Out of Scope)

●תשתיות של צדדים שלישיים (Supabase, Cloudflare, AWS)
●ממצאים דורשים גישה פיזית למכשיר המשתמש
●התקפות Social Engineering, Phishing, Vishing
●DoS / DDoS ו-Brute Force
●ממצאים ב-Dependency שלא פרסמנו תיקון עבורם
●דומיינים/נכסים שאינם בבעלות MediFlow

כללי מחקר (Rules of Engagement)

השתמשו רק בחשבונות בדיקה שיצרתם עצמכם — אל תיגעו בנתוני משתמשים אמיתיים.

אל תשבשו שירות או תפגעו בזמינות המערכת (ללא DoS/DDoS).

אל תגלו ממצאים לצד שלישי לפני שקיבלתם אישורנו מפורש.

תעדו כל שלב בצורה ברורה — PoC, payloads, screenshots.

דווחו בהקדם האפשרי עם כל המידע הנחוץ לשחזור.

אין לגשת, להוריד, לשנות או למחוק נתוני ייצור.

תגמול לפי רמת חומרה (Bug Bounty)

רמת חומרה	תגמול	דוגמאות
קריטיCritical	₪5,000 – ₪15,000	RCE, SQL Injection, גישה ישירה לנתוני מטופלים, עקיפת אימות שלמה
גבוהHigh	₪1,000 – ₪5,000	XSS מתמיד, IDOR לנתונים רגישים, הסלמת הרשאות, חשיפת מפתחות API
בינוניMedium	₪200 – ₪1,000	CSRF, Open Redirect, SSRF מוגבל, חשיפת מידע שאינו רגיש
נמוךLow	Hall of Fame	ממצאי הגדרה, Best Practice violations, ממצאים עם השפעה נמוכה

* סכומי התגמול ניתנים לשיקול דעת בהתאם לאיכות הדיווח, ייחודיות הממצא ועמידה בכללי המחקר.

תהליך הדיווח (Disclosure Process)

שלחו דיווח

שלחו מייל מפורט ל-security@mediflow.co.il עם כותרת: [VDP] <תיאור קצר>. כללו PoC, שלבי שחזור ורמת חומרה מוצעת.

אישור קבלה

נשיב תוך 24 שעות עם מספר מעקב ייחודי לדיווח שלכם.

תיאום גילוי

נעבוד יחד לאימות הממצא ותיקונו. נעדכן אתכם בכל שלב מהותי.

תגמול ופרסום

לאחר תיקון ואימות, נעניק את התגמול המוסכם ונוסיף אתכם ל-Hall of Fame (אלא אם ביקשתם אנונימיות).

Summary for Security Researchers

MediFlow operates an Israeli medical clinic SaaS handling sensitive patient data. We take security seriously and welcome responsible disclosure from the research community.

Report to: security@mediflow.co.il

Coordinated disclosure — 90-day deadline before public release

Safe harbor under Israeli Computer Law 5755-1995

Bug bounty: ₪200 – ₪15,000 depending on severity

Response within 24h, triage within 72h

PGP key available on request