RESPONSIBLE DISCLOSURE

Bei Northwave finden wir die Sicherheit unserer Systeme sehr wichtig. Trotz unserer Anstrengungen zum Schutz unserer Systeme kann es Schwachstellen geben. Wenn Sie eine Schwachstelle in einem unserer Systeme gefunden haben, unterrichten Sie uns bitte darüber, damit wir so schnell wie möglich Maßnahmen ergreifen können. Wir möchten mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Systeme besser zu schützen.

Wir bitten Sie:

  • Mailen Sie Ihre Erkenntnisse an cert@northwave.nl. Wenn möglich, verschlüsseln Sie sie mit unserem PGP-Schlüssel, um zu verhindern, dass die Informationen in falsche Hände gelangen.
  • Nutzen Sie das Problem nicht aus, etwa durch Download vom mehr Daten, als zum Aufzeigen der Panne erforderlich ist, oder durch Aufruf, Löschung oder Änderung von Daten Dritter.
  • Teilen Sie das Problem nicht mit anderen, bevor es behoben worden ist, und löschen Sie alle durch die Panne erhaltenen vertraulichen Daten unverzüglich, sobald die Panne behoben worden ist.
  • Machen Sie keinen Gebrauch von Angriffen auf physische Schutzeinrichtungen, Social Engineering, Distributed Denial of Service (DDoS), Spam oder Anwendungen Dritter usw.
  • Übermitteln Sie genügend Informationen zur Reproduktion des Problems, damit wir es möglichst schnell beheben können. Normalerweise reicht die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Anfälligkeit aus. Komplexere Schwachstellen können jedoch mehr Informationen erfordern.

Wir versprechen Ihnen:

  • Auf Ihre Meldung antworten wir innerhalb von sieben Tagen mit unserer Bewertung der Meldung und einem voraussichtlichen Datum für eine Lösung.
  • Wenn Sie die genannten Bedingungen eingehalten haben, werden wir im Zusammenhang mit Ihrer Meldung keine rechtlichen Schritte gegen Sie einleiten.
  • Wir behandeln Ihre Meldung vertraulich und leiten Ihre persönlichen Daten ohne Ihre Zustimmung nicht an Dritte weiter, es sei denn, dies ist gesetzlich vorgeschrieben. Es ist möglich, eine Meldung unter einem Pseudonym vorzunehmen.
  • Wir halten Sie über den Fortgang der Lösung des Problems auf dem Laufenden.
  • In eventuellen Berichten über das gemeldete Problem geben wir auf Wunsch Ihren Namen als Entdecker an.
  • Als Dankeschön für die Hilfe bieten wir eine Belohnung für jede Meldung eines Sicherheitsproblems, das uns noch nicht bekannt ist. Die genaue Belohnung bestimmen wir anhand der Schwere der Panne und der Qualität der Meldung, sie ist mindestens eine Flasche und höchstens eine Kiste Club-Mate.
  • Wir bemühen uns, alle Probleme so schnell wie möglich zu beheben. An eventuellen Veröffentlichungen zu einem Problem nach dessen Behebung möchten wir gerne beteiligt werden.

Dieser Text basiert auf einem Mustertext von Floor Terra (http://responsibledisclosure.nl/).