Responsible Disclosure
Für die x-tention Informationstechnologie GmbH und die übrigen Mitglieder der x-tention Unternehmensgruppe haben Informationssicherheit und Datenschutz oberste Priorität. Beide sind essenziell, um die Daten unserer Kunden und deren Kunden bestmöglich vor unberechtigtem Zugriff zu schützen. Trotz großer Investitionen in die Sicherheit und regelmäßiger Überprüfung aller Standards, kann jedoch nicht ausgeschlossen werden, dass einzelne Schwachstellen auftreten.
Darum bitten wir alle Personen, Unternehmen und Organisationen, die einen sicherheitsrelevanten Fehler oder eine Schwachstelle in einem unserer Systeme, Netzwerke, Software oder Services entdecken, uns dies sofort mitzuteilen. Damit unterstützen Sie uns passende Gegenmaßnahmen schneller einzuleiten und die Schwachstelle zeitnah zu beheben.
Wir bitten Sie:
- Senden Sie uns Ihre Entdeckung an @email. Falls Sie die Informationen verschlüsselt übermitteln wollen, kontaktieren Sie uns bitte vorab unter dieser E-Mail-Adresse. Wir werden Sie dann über die weiteren Schritte informieren.
- Übermitteln Sie uns ausreichend Informationen, um das Problem nachstellen und so schnell wie möglich beheben zu können. Üblicherweise sollte die IP-Adresse oder die URL des betroffenen Systems mit einer Beschreibung der Schwachstelle / des Angriffs ausreichen. Für komplexere Schwachstellen können weitere Erklärungen notwendig sein, die wir bei Bedarf bei Ihnen abfragen.
- Nutzen Sie die Schwachstelle nicht aus, indem Sie Daten herunterladen, manipulieren oder löschen!
- Wenn Sie versehentlich vertrauliche Informationen heruntergeladen haben, löschen Sie diese umgehend!
- Geben Sie die Schwachstelle keinem Dritten bekannt, bis diese behoben ist!
- Führen Sie keine Angriffe auf die physische Sicherheit unserer Räumlichkeiten und Systeme, Social Engineering-Angriffe oder Distributed Denial of Service-Angriffe (DDoS-Angriffe) durch.
Wir versprechen Ihnen:
- Wir nehmen alle Meldungen ernst, werden jede potenzielle Schwachstelle untersuchen und identifizierte Probleme so schnell wie möglich beheben!
- Wir antworten innerhalb von 48 Stunden auf Ihren Bericht und halten Sie regelmäßig über den Fortschritt der Problembehebung informiert.
- Sofern Sie sich an alle obigen Anweisungen halten, werden wir keine rechtlichen Schritte gegen Sie einleiten.
- Ihr Bericht wird streng vertraulich behandelt und Ihre persönlichen Informationen werden nicht weitergegeben.
- Wir informieren so schnell wie möglich betroffene Stakeholder von der Schwachstelle.
- Wenn Sie es ausdrücklich wünschen, werden wir Ihren Namen als Entdecker der Schwachstelle bei der öffentlichen Kommunikation nennen.
Diese Responsible Disclosure Policy basiert auf der Responsible Disclosure Guideline des National Cyber Security Centre, geschrieben von Floor Terra.