Politik zur Offenlegung von Schwachstellen
Wenn Sie glauben, eine Sicherheitslücke im Zusammenhang mit einem STRONG-Produkt oder -Dienst gefunden zu haben, senden Sie uns bitte Ihren Bericht.
Von: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Österreich
Veröffentlicht April 2024
Inhalt
- Einführung
- Berichterstattung
- Was zu erwarten ist
- Leitfaden
- Rechtliche Hinweise
Einführung
Diese Richtlinie zur Offenlegung von Schwachstellen gilt für alle Schwachstellen, die Sie STRONG zu melden gedenken. Wir empfehlen Ihnen, diese Richtlinie zur Offenlegung von Schwachstellen vollständig zu lesen, bevor Sie eine Schwachstelle melden, und stets in Übereinstimmung mit ihr zu handeln.
Wir schätzen diejenigen, die sich die Zeit und Mühe nehmen, Sicherheitsschwachstellen gemäß dieser Richtlinie zu melden. Wir bieten jedoch keine finanziellen Belohnungen für die Meldung von Sicherheitslücken an
Berichterstattung
Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, übermitteln Sie uns bitte Ihren Bericht über das folgende Kontaktformular und wählen Sie die Art "Sicherheitsverletzung": *****(lien formulaire de contact)*****
Was zu erwarten ist
Nachdem Sie Ihre Meldung eingereicht haben, antworten wir innerhalb von 5 Arbeitstagen auf Ihre Meldung und bemühen uns, Ihre Meldung innerhalb von 10 Arbeitstagen zu bearbeiten. Wir werden Sie auch über unsere Fortschritte auf dem Laufenden halten.
Die Priorität für die Behebung wird anhand der Auswirkungen, des Schweregrads und der Komplexität der Schwachstelle beurteilt. Die Bearbeitung von Schwachstellenberichten kann einige Zeit in Anspruch nehmen, in einigen Fällen kann die Behebung bis zu 90 Tage oder länger dauern. Sie können sich gerne nach dem Status erkundigen, sollten dies aber nicht öfter als einmal alle 14 Tage tun. So können sich unsere Teams auf die Behebung der Schwachstellen konzentrieren.
Wir werden Sie benachrichtigen, wenn die gemeldete Schwachstelle behoben ist, und Sie können aufgefordert werden, zu bestätigen, dass die Lösung die Schwachstelle angemessen abdeckt.
Sobald Ihre Schwachstelle behoben ist, freuen wir uns über Anfragen, Ihren Bericht zu veröffentlichen. Wir möchten die Hinweise für die betroffenen Benutzer vereinheitlichen. Bitte koordinieren Sie daher weiterhin die Veröffentlichung mit uns.
Leitfaden
Sie dürfen NICHT:
- gegen geltende Gesetze oder Vorschriften verstoßen
- Zugang zu unnötigen, übermäßigen oder erheblichen Datenmengen
- Daten in den Systemen oder Diensten von STRONG zu ändern
- intensive invasive oder zerstörerische Scan-Tools verwenden, um Schwachstellen zu finden
- jede Form der Dienstverweigerung zu versuchen oder zu melden, z. B. einen Dienst mit einer hohen Anzahl von Anfragen zu überlasten
- die Dienste oder Systeme von STRONG zu stören
- Berichte vorlegen, in denen nicht ausnutzbare Schwachstellen aufgeführt sind, oder Berichte, die darauf hinweisen, dass die Dienste nicht in vollem Umfang mit den "besten Praktiken" übereinstimmen, z. B. fehlende Sicherheits-Header
- Schwachstellen oder damit zusammenhängende Einzelheiten auf andere als die in dieser Richtlinie beschriebenen Weise mitzuteilen
- Social Engineering, "Phishing" oder physische Angriffe auf das Personal oder die Infrastruktur der Organisation
- einen finanziellen Ausgleich für die Offenlegung von Schwachstellen zu verlangen
Sie müssen:
- die Datenschutzbestimmungen stets einzuhalten und die Privatsphäre der Nutzer, Mitarbeiter, Auftragnehmer, Dienste oder Systeme von STRONG nicht zu verletzen. Sie dürfen zum Beispiel keine von den Systemen oder Diensten abgerufenen Daten weitergeben, weiterverteilen oder nicht ordnungsgemäß sichern.
- alle im Rahmen Ihrer Nachforschungen gewonnenen Daten sicher zu löschen, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie es das Datenschutzrecht vorschreibt).
Rechtliche Hinweise
Diese Richtlinie ist so konzipiert, dass sie mit der gängigen Praxis der Offenlegung von Schwachstellen vereinbar ist. Sie gibt Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu führen könnte, dass die Organisation oder Partnerorganisationen gegen rechtliche Verpflichtungen verstoßen.
Sollte jedoch ein Dritter rechtliche Schritte gegen Sie einleiten und Sie haben sich an diese Richtlinie gehalten, können wir Maßnahmen ergreifen, um bekannt zu machen, dass Sie in Übereinstimmung mit dieser Richtlinie gehandelt haben.
Vielen Dank für Ihren Beitrag zur Sicherheit von STRONG und unseren Kunden!