Erklärung zur verantwortungsvollen Offenlegung bei Credendo
Bei Credendo räumen wir der Sicherheit unserer Systeme höchste Priorität ein. Doch ungeachtet unserer Anstrengungen in Sachen Systemsicherheit können Schwachstellen nicht vollständig ausgeschlossen werden.
Wenn Sie eine Sicherheitslücke identifizieren, würden wir dies gerne erfahren, um möglichst schnell Schritte zur Behebung einzuleiten. Wir bitten Sie daher, uns beim besseren Schutz unserer Kunden und Systeme zu unterstützen und identifizierte Sicherheitslücken nicht öffentlich zu machen, bevor wir Abhilfemaßnahmen treffen können.
Diese Erklärung zur verantwortungsvollen Offenlegung gilt für alle Credendo-Systeme. Im Zweifelsfall setzen Sie sich gerne mit uns in Verbindung unter vulnerability@credendo.com.
Um Missverständnissen vorzubeugen: Jeder Missbrauch und jede Offenlegung vertraulicher oder technischer Informationen über unsere Systeme – einschließlich der Ausnutzung von Sicherheitslücken – ist rechtswidrig und strengstens untersagt und kann zu rechtlichen Schritten seitens Credendo führen. Ihre Mithilfe könnte solche Maßnahmen selbstverständlich verhindern und wird außerordentlich geschätzt.
Wenn Sie eine Sicherheitslücke identifizieren, gehen Sie bitte wie folgt vor:
- Melden Sie die Sicherheitslücke per E-Mail unter vulnerability@credendo.com. Verschlüsseln Sie Ihre Feststellungen mithilfe unseres PGP-Schlüssels, um zu vermeiden, dass diese sensiblen Informationen in die falschen Hände gelangen.
- Nutzen Sie die Sicherheitslücke oder das Problem nicht aus, indem Sie zum Beispiel mehr Daten als für die Verdeutlichung der Sicherheitslücke nötig herunterladen oder die Daten anderer Personen löschen oder ändern.
- Sprechen Sie mit niemandem über das Problem, solang es nicht behoben wurde.
- Verüben Sie keine Angriffe auf physische Sicherheitseinrichtungen und verwenden Sie kein Social Engineering, Distributed Denial-of-Service, Spam oder Anwendungen Dritter.
- Übermitteln Sie genügend Informationen, sodass wir das Problem reproduzieren und schnellstmöglich beheben können. Meistens sind die IP-Adresse oder URL des betroffenen Systems sowie eine Beschreibung der Sicherheitslücke ausreichend, doch bei komplexeren Sicherheitslücken können auch weitergehende Erläuterungen erforderlich sein.
Unser Versprechen:
- Innerhalb von 15 Werktagen nach Ihrer Meldung erhalten Sie von uns eine Nachricht mit einer Auswertung der Meldung und dem voraussichtlichen Datum der Behebung.
- Wenn Sie die obigen Anweisungen befolgt und sich darüber hinaus nicht widerrechtlich, schädigend oder unethisch verhalten haben, werden wir im Zusammenhang mit der Meldung keine rechtlichen Schritte gegen Sie einleiten.
- Wir werden Ihre Meldung streng vertraulich behandeln und geben Ihre personenbezogenen Daten nicht ohne Ihr Einverständnis an Dritte weiter.
- Wir halten Sie über die Fortschritte bei der Lösung des Problems auf dem Laufenden.
- In den öffentlichen Informationen über das gemeldete Problem werden wir Sie als Entdecker des Problems namentlich erwähnen (es sei denn, Sie möchten dies nicht).
- Als Zeichen unserer Dankbarkeit für Ihre Hilfe bieten wir für jede Meldung eines uns bis dahin unbekannten Sicherheitsproblems eine Belohnung. Allerdings erlaubt Credendos Firmenpolitik keinerlei Form der monetären Belohnung. Die tatsächliche Belohnung wird von Credendo auf der Grundlage der Schwere des Lecks und der Qualität der Meldung bestimmt.
Wir bemühen uns, alle Probleme so schnell wie möglich zu beheben, und möchten in der abschließenden öffentlichen Berichterstattung über das Problem eine aktive Rolle spielen, nachdem es behoben wurde.