Verohallinto Kutsuohjelma

Kutsuohjelma | Verohallinto | Vero Bug Bounty

Verohallinnon OmaVero Bug Bounty -haavoittuvuuspalkinto-ohjelma. Verkkopalveluiden ja sähköisen asioinnin luotettavuus ja turvallisuus on Verohallinnolle hyvin tärkeää. Bug bounty -ohjelman avulla Verohallinto pyrkii saamaan tietoonsa mahdollisia merkittäviä haavoittuvuuksia, jotka löytyvät ohjelman kohteena olevasta sähköisestä OmaVero-palvelusta. Ohjelma on kutsuohjelma, joten halutessasi osallistua ohjelmaan voit anoa pääsyä mukaan. Ohjelmaan pääseminen edellyttää sähköistä tunnistautumista sekä perussääntöjen hyväksynnän sähköisellä allekirjoituksella. Itse OmaVero-palvelun käyttö edellyttää myös sähköistä tunnistamista.

100€ - 30.000€

02.10.2017 - toistaiseksi

Verohallinto lyhyesti

Verohallinto on valtiovarainministeriön alaisuudessa toimiva viranomainen, joka kerää suurimman osan Suomen veroista ja veronluonteisista maksuista. Verohallinnon keräämät verot ovat julkisen talouden tärkein tulonlähde. Verovaroilla ylläpidetään ja kehitetään yhteiskunnan palveluja jokaisen suomalaisen hyväksi. Verohallinnon tehtävänä on suorittaa verotus tarkasti, valppaasti ja ehdottoman tasapuolisesti ja tehdä veroasiat asiakkaille helpoiksi.

OHJELMAN PÄÄKOHDAT

Tietoturvatutkimuksen kohteena on:

Ohjelmaan liittyvät toistaiseksi seuraavat rajoitukset. On mahdollista, että rajaukset muuttuvat/poistuvat ohjelman kuluessa, tästä tiedotetaan osallistujille erikseen.

  • Omaveroon on tulossa uutta toiminnallisuutta, joten se sulkeutuu 1.11 klo 15:30 ja avautuu jälleen 9.11 klo 9.
  • VRK:n toimittamat tunnistus- ja valtuutuspalvelut eivät ole tämän ohjelman piirissä.
  • Oikaisuvaatimusten teko on rajattu ohjelmasta ulos, koska niitä ei voi jälkikäteen peruuttaa.
  • Kohteena on palvelun sovelluskerros, sekä 2.1.2018 alkaen myös palvelin (ks. osoite ylempää).

OmaVerosta on tulossa Verohallinnon pääasiallisia sähköisiä asiointipalveluita. Siihen on tulossa paljon uutta toiminnallisuutta marraskuussa 2018, aiempien toimintojen lisäksi mm.

  • Ennakkoveron muuttaminen, uuden hakeminen, poistaminen
  • Muutosverokortin hakeminen
  • Ilmoitusten antaminen, korjaaminen, peruminen ja katsominen
  • Veroilmoituksen antaminen ja verotustietojen/päätösten katseleminen

Toteutamme vastuullisia haavoittuvuuspalkinto-ohjelmia. Tämän johdosta sääntöjä on noudatettava. Luethan säännöt ennen ohjelmaan osallistumista. Tässä tärkeimpiä edellytyksiä ohjelmaan osallistumiseksi:

  • Ohjelma on kutsuohjelma, johon voit hakea mukaan. Ennen mahdollista hyväksymistä sinun tulee tunnistautua sähköisesti sekä hyväksyä säännöt Visma Sign -palvelussa.
  • Jos sinut hyväksytään mukaan, saat tästä henkilökohtaisen ilmoituksen.
  • Raportointi tapahtuu kirjautumalla raportointiportaaliimme, jossa olevaan raportointisivuun saat oikeudet kun sinut on hyväksytty ohjelmaan.
  • Jos et ole tähän ohjelmaan vielä kutsuttu tai hyväksytty tietoturvatutkija, et voi raportoida havaintoja em. kautta emmekä siten välttämättä maksa palkkiota ilmoittamastasi havainnosta.
  • Käytä raportointiin vain raportointiportaalin lomaketta äläkä julkaise havaintoa muualla.
  • OmaVeroon kirjaudutaan joko suomi.fi-tunnistuksella (mm. pankkitunnisteet, varmennekortti) tai yritysten Katso-tunnisteella. Tunnistus on rajattu toistaiseksi tästä ohjelmasta ulos, koska palvelun tuottaa kolmas osapuoli.
  • Tietoturvatutkimus ei saisi vaikuttaa testauksen kohteena olevan palvelun saatavuuteen. Jos olet epävarma, kysy lupaa Hackrfi-asiantuntijalta raportointiportaalin kautta.
  • Jos pääset murtautumaan palvelimelle, älä siirry palvelimesta muihin palvelimiin (ns. pivot) kysymättä lupaa Hackrfi:n asiantuntijoiden kautta. Näin siksi, että palvelin on jaetussa infrastruktuurissa.

Säännöissä on listattu tarkemmin asiat, joita tässä ohjelmassa ei ole sallittua tehdä, luethan ne huolella.

Palkkio maksetaan työkorvauksena ja sen maksaa Hackrfi. Palkkion maksamisen edellytyksenä on verokortin toimittaminen Hackrfi:lle

Tietoturvallisuus ja siihen liittyvien riskien ja uhkien tunnistaminen ovat tärkeä osa Verohallinnon luotettavaa toimintaa. Pelikenttä kehittyy ja muuttuu jatkuvasti vastapuolelta ja me, Verohallinto sekä Hackrfi Oy, olemme iloisia liittyessäsi mukaan osaksi vastuullista toimintaa. Kiitämme, että saamme toimia kanssasi tietoturvallisuuden parantamiseksi. Kunnoitamme tähän käyttämääsi aikaa, ja toivomme myös sinun kunnioittavan meidän palvelu-, vaste- ja korjausaikojamme.

Hae pääsyä ohjelmaan     Ohjelman säännöt     Raportoi

Haluatko tietoturvatestaajaksi?

Luo tunnus raportointiportaaliimme, sieltä pystyt tekemään raportteja avoimiin ohjelmiin.