Retningslinjer for avsløring av sårbarheter
Hvis du mener at du har funnet et sikkerhetsproblem knyttet til et STRONG-produkt eller en STRONG-tjeneste, kan du sende inn rapporten til oss.
Fra: STRONG Ges.m.b.H: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Østerrike
Publisert april 2024
Innhold
- Innledning
- Rapportering
- Hva du kan forvente
- Veiledning
- Juridiske forhold
Innledning
Disse retningslinjene for rapportering av sårbarheter gjelder for alle sårbarheter du vurderer å rapportere til STRONG. Vi anbefaler at du leser disse retningslinjene for avsløring av sårbarheter fullt ut før du rapporterer en sårbarhet, og at du alltid handler i samsvar med dem.
Vi setter pris på dem som tar seg tid til å rapportere sikkerhetsproblemer i henhold til disse retningslinjene. Vi tilbyr imidlertid ikke økonomiske belønninger for avsløringer av sårbarheter
Rapportering
Hvis du mener at du har funnet en sikkerhetssårbarhet, kan du sende inn en rapport til oss ved å bruke følgende kontaktskjema og velge "Security breach": *****(lien formulaire de contact)*****
Hva du kan forvente
Etter at du har sendt inn rapporten, vil vi svare på den innen fem virkedager, og vi tar sikte på å behandle rapporten innen ti virkedager. Vi vil også forsøke å holde deg informert om fremdriften vår.
Prioritet for utbedring vurderes ved å se på virkningen, alvorlighetsgraden og kompleksiteten i utnyttelsen. Det kan ta noe tid å håndtere sårbarhetsrapporter, og i noen tilfeller kan det ta opptil 90 dager eller mer å utbedre dem. Du er velkommen til å spørre om status, men bør unngå å gjøre det mer enn én gang hver 14. dag. Dette gjør at teamene våre kan fokusere på utbedringen.
Vi vil varsle deg når den rapporterte sårbarheten er utbedret, og du kan bli invitert til å bekrefte at løsningen dekker sårbarheten på en tilfredsstillende måte.
Når sårbarheten er løst, tar vi gjerne imot forespørsler om å offentliggjøre rapporten din. Vi ønsker å samordne veiledningen til berørte brukere, så fortsett å koordinere offentliggjøringen med oss.
Veiledning
Du må IKKE:
- bryte gjeldende lover eller forskrifter
- tilgang til unødvendige, overdrevne eller betydelige datamengder
- endre data i STRONGs systemer eller tjenester
- bruke invasive eller destruktive skanneverktøy med høy intensitet for å finne sårbarheter
- forsøke eller rapportere noen form for tjenestenekt, for eksempel ved å overbelaste en tjeneste med et stort antall forespørsler
- forstyrre STRONGs tjenester eller systemer
- sende inn rapporter som beskriver sårbarheter som ikke kan utnyttes, eller rapporter som indikerer at tjenestene ikke er helt i tråd med "beste praksis", for eksempel manglende sikkerhetsoverskrifter
- kommunisere eventuelle sårbarheter eller tilhørende detaljer på andre måter enn beskrevet i disse retningslinjene
- utføre sosial manipulering, "phishing" eller fysisk angripe organisasjonens ansatte eller infrastruktur
- kreve økonomisk kompensasjon for å avsløre eventuelle sårbarheter
Det må du:
- alltid overholde personvernreglene og må ikke krenke personvernet til STRONGs brukere, ansatte, leverandører, tjenester eller systemer. Du må for eksempel ikke dele, videredistribuere eller unnlate å sikre data som hentes fra systemene eller tjenestene på riktig måte.
- slette alle data som er innhentet i løpet av forskningen din på en sikker måte så snart de ikke lenger er nødvendige eller innen én måned etter at sårbarheten er løst, avhengig av hva som inntreffer først (eller som ellers kreves i henhold til personvernlovgivningen).
Juridiske forhold
Disse retningslinjene er utformet for å være forenlige med god praksis for avsløring av sårbarhet. De gir deg ikke tillatelse til å handle på noen måte som er i strid med loven, eller som kan føre til at organisasjonen eller partnerorganisasjoner bryter med juridiske forpliktelser.
Hvis en tredjepart tar rettslige skritt mot deg, og du har overholdt disse retningslinjene, kan vi imidlertid iverksette tiltak for å gjøre det kjent at handlingene dine ble utført i samsvar med disse retningslinjene.
Takk for at du bidrar til å holde STRONG og våre kunder trygge!