RESPONSIBLE DISCLOSURE

Bei Northwave steht die Sicherheit unserer Systeme an erster Stelle. Trotz aller Anstrengungen kann es Schwachstellen geben. Wenn Sie eine Schwachstelle in einem unserer Systeme gefunden haben, unterrichten Sie uns bitte darüber, damit wir so schnell wie möglich Maßnahmen ergreifen können. Wir möchten mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Systeme noch besser zu schützen.

Wir bitten Sie:

  • Mailen Sie Ihre Erkenntnisse an [email protected]. Wenn möglich, verschlüsseln Sie sie mit unserem PGP-Schlüssel, um zu verhindern, dass die Informationen in falsche Hände gelangen.
  • Nutzen Sie das Problem nicht, indem Sie etwa mehr Daten als zum Aufzeigen der Panne nötig sind herunterladen, die Daten Dritter aufrufen, löschen oder ändern.
  • Teilen Sie das Problem nicht mit anderen, bevor es behoben worden ist, und löschen Sie alle durch die Panne erhaltenen vertraulichen Daten unverzüglich, sobald die Panne behoben worden ist.
  • Machen Sie keinen Gebrauch von Angriffen auf physische Schutzeinrichtungen, Social Engineering, Distributed Denial of Service (DDoS), Spam oder Anwendungen Dritter.
  • Übermitteln Sie genügend Informationen, damit wir das Problem möglichst schnell nachvollziehen und beheben können. Normalerweise reicht die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus. Komplexere Schwachstellen können jedoch mehr Informationen erfordern.

Wir versprechen Ihnen:

  • Auf Ihre Meldung antworten wir innerhalb von sieben Tagen mit unserer Einschätzung und einem voraussichtlichen Lösungsdatum.
  • Wenn Sie die genannten Bedingungen eingehalten haben, werden wir im Zusammenhang mit Ihrer Meldung keine rechtlichen Schritte gegen Sie einleiten.
  • Wir behandeln Ihre Meldung vertraulich und leiten Ihre persönlichen Daten ohne Ihre Zustimmung nicht an Dritte weiter, es sei denn, dies ist gesetzlich vorgeschrieben. Sie können eine Meldung auch unter einem Pseudonym übermitteln.
  • Wir halten Sie über den Fortgang der Lösung des Problems auf dem Laufenden.
  • In eventuellen Berichten über das gemeldete Problem geben wir auf Wunsch Ihren Namen als Entdecker an.
  • Als Dankeschön für die Hilfe bieten wir eine Belohnung für jede Meldung eines Sicherheitsproblems, das uns noch nicht bekannt ist. Die genaue Belohnung bestimmen wir anhand der Tragweite der Datenpanne und der Qualität der Meldung: es gibt mindestens eine Flasche und höchstens eine Kiste Club-Mate.
  • Wir bemühen uns, alle Probleme so schnell wie möglich zu beheben. An eventuellen Veröffentlichungen zu einem Problem nach dessen Behebung möchten wir gerne beteiligt werden.

Dieser Text basiert auf einem Mustertext von Floor Terra (http://responsibledisclosure.nl/).