Net at Work Product Security Incident Response Team
Für Fragen oder Hinweise bezüglich der Cybersicherheit unserer Produkte und mobilen Anwendungen kontaktieren Sie bitte: psirt@nospamproxy.com
PGP Public Key
Den PGP Schlüssel finden Sie hier auf Open Keys.
PGP Fingerprint:
41EA FC04 E2AE 24EF DF3B 3E7C 13E7 5B53 9C61 F3DD
S/MIME Public Key
Das S/MIME-Zertifikat finden Sie hier auf Open Keys.
Net at Work Vulnerability Disclosure Policy
Prozess zur Meldung und Veröffentlichung von Sicherheitslücken
1. Einleitung
Als Hersteller für qualitativ hochwertige und langlebige Produkte hat die Sicherheit unserer Kundendaten oberste Priorität und ist ein Unternehmenswert von Net at Work. Daher begrüßen wir jeden Beitrag externer Sicherheitsexperten, um die Sicherheit unserer Produkte zu verbessern. Diese Richtlinie definiert den Rahmen, den Net at Work für die verantwortungsvolle Offenlegung von Sicherheitsschwachstellen zusichert. Diese Richtlinie gilt in ihrer jeweils aktuellen Fassung, wobei Änderungen vorbehalten sind.
2. Geltungsbereich
Diese Richtlinie gilt für alle vernetzten bzw. vernetzungsfähigen Produkte und Komponenten, die von Net at Work entwickelt, hergestellt oder vermarktet werden sowie für alle öffentlich zugänglichen Net at Work IT-Anwendungen.
Wir sind an Meldungen zu Schwachstellen interessiert, die ausnutzbar sind, direkt zu einer ausnutzbaren Schwachstelle führen oder es ermöglichen, Benutzerdaten aus der Ferne zu kompromittieren.
Bitte beachten Sie, dass Meldungen zu Schwachstellen mit minimalen Auswirkungen auf die Sicherheit (z. B. fehlende Header), nicht verifizierte Ergebnisse von automatisierten Scans, Schwachstellen, die sich der Kontrolle von Net at Work entziehen oder Schwachstellen, die gegen die unten genannten Anforderungen verstoßen, nicht berücksichtigt werden.
3. Berechtigung und verantwortungsvolle Offenlegung
Wenn Ihre Erkenntnisse oder Anmerkungen eines unserer Produkte oder unsere mobilen Anwendungen betreffen, können Sie sich direkt an unser Product Security Incident Response Team (PSIRT) wenden. Verwenden Sie dazu bitte die folgende E-Mail-Adresse:
psirt@nospamproxy.com
Ihre E-Mail sollte folgende Informationen beinhalten:
- Betroffene(s) Produkt/Anwendung
- Beschreibung der festgestellten Schwachstelle
- Soweit vorhanden: Proof-of–Concept-Quellcode, Exploit bzw. Log-Dateien
Um den Meldeprozess zu beschleunigen, bitten wir Sie:
Die Sicherheitsvorfälle mit uns im Detail zu teilen;
Auf unsere vorhandenen Anwendungen Rücksicht zu nehmen und deren Betrieb nicht zu stören;
Uns eine angemessene Antwortzeit zu geben, bevor Sie die Informationen veröffentlichen. Wir bemühen uns zeitnah zu reagieren und die festgestellte Schwachstelle innerhalb von 90 Tagen zu beseitigen. Während dieser Zeit bitten wir Sie, alle Kommunikationen und Informationen vertraulich zu behandeln. Falls wir diesen Zeitrahmen nicht einhalten können, werden wir Sie umgehend kontaktieren;
Nicht ohne unsere ausdrückliche Genehmigung des Eigentümers auf unsere Daten oder die Daten unserer Benutzer zuzugreifen oder diese zu ändern. Bitte greifen Sie zu Zwecken der Sicherheitsforschung ausschließlich auf Ihre eigenen Konten oder Testkonten zu;
Uns umgehend zu kontaktieren, wenn Sie versehentlich auf Daten anderer Nutzer stoßen. Ansehen, Ändern, Speichern, Übertragen oder anderweitiger Zugriff auf die Daten ist nicht erlaubt. Löschen Sie sofort alle lokalen Kopien der Daten nachdem Sie die Sicherheitslücke an die oben genannten E-Mail-Adressen gemeldet haben;
Gutwillig zu handeln, um Datenschutzverletzungen, Datenvernichtung und Störung oder Verschlechterung unserer Dienste (einschließlich Denial–of-Service) zu vermeiden; und sich an alle geltenden Gesetze zu halten.
4. Folgen der Einhaltung dieser Richtlinie
Wir werden keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden wegen unbeabsichtigter, gutgläubiger Verstöße gegen diese Richtlinie in ihrer jeweils aktuellen Fassung einreichen. Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden als “autorisiertes” Verhalten. Soweit Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Richtlinie unvereinbar sind, verzichten wir auf diese Einschränkungen, um die Sicherheitsforschung im Rahmen dieser Richtlinie zu ermöglichen. Wir werden keine Ansprüche gegen Sie geltend machen, wenn Sie die technologischen Maßnahmen, die wir zum Schutz der Anwendungen im Rahmen dieser Richtlinie einsetzen, umgangen haben.
Wir möchten uns bei Ihnen für Ihre Kooperation bedanken. Ihre Hinweise und Nachrichten unterstützen uns dabei, unsere Systeme sicherer zu machen. Als Anerkennung möchten wir Sie daher in unserer Hall of Thanks begrüßen. Bitte teilen Sie uns mit, ob und unter welchem Namen wir Sie dort auflisten können.