Verantwortungsvolle Offenlegung

Verantwortungsvolle Offenlegung

Bei Data eXcellence ist uns die Sicherheit unserer Systeme sehr wichtig. Trotz unserer Sorgfalt bei der Sicherheit unserer Systeme kann es vorkommen, dass es eine Schwachstelle gibt.
Wenn Sie eine Schwachstelle in einem unserer Systeme gefunden haben, würden wir gerne davon erfahren, damit wir so schnell wie möglich Maßnahmen ergreifen können. Wir würden gerne mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Systeme besser zu schützen.

Wir bitten Sie darum:

  • Senden Sie Ihre Erkenntnisse per E-Mail an security@dataexcellence.nl.
  • Missbrauchen Sie das Problem nicht, indem Sie z. B. mehr Daten als nötig herunterladen, um das Leck zu demonstrieren, oder auf Daten Dritter zugreifen, diese löschen oder verändern.
  • Teilen Sie das Problem nicht mit anderen, bis es behoben ist, und löschen Sie alle vertraulichen Daten, die Sie durch das Leck erhalten haben, sofort nach Behebung des Lecks, keine physischen Sicherheitsangriffe, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen Dritter zu verwenden.
  • Stellen Sie ausreichende Informationen zur Verfügung, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Sicherheitslücke aus, bei komplexeren Schwachstellen kann jedoch mehr erforderlich sein.

Was wir versprechen:

  • Wir antworten innerhalb von 3 Tagen auf Ihre Meldung und teilen Ihnen unsere Einschätzung der Schwachstelle sowie ein voraussichtliches Datum für eine Lösung mit.
  • Wenn Sie die oben genannten Bedingungen erfüllt haben, werden wir im Zusammenhang mit der Meldung keine rechtlichen Schritte gegen Sie einleiten.
  • Wir behandeln Ihre Meldung vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich. Die Meldung unter einem Pseudonym ist möglich.
  • Wir werden Sie über den Fortschritt bei der Lösung des Problems auf dem Laufenden halten.
  • In Mitteilungen über das gemeldete Problem werden wir, wenn Sie dies wünschen, Ihren Namen als Entdecker nennen.
  • Als Dankeschön für Ihre Hilfe bieten wir für jede Meldung eines uns noch nicht bekannten Sicherheitsproblems eine Belohnung an. Die Höhe der Belohnung richtet sich nach dem Schweregrad des Lecks und der Qualität der Meldung.

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und sind gerne bereit, uns an einer Veröffentlichung über das Problem zu beteiligen, nachdem es gelöst wurde.

Dieser Text basiert auf dem Mustertext auf http://responsibledisclosure.nl/ von Floor Terra.