ISGroup Cybersicherheitsberatung

Richtlinien zur Offenlegung von Schwachstellen (Vulnerability Disclosure Guidelines)

Jede Technologie enthält Fehler. Wenn Sie eine Sicherheitslücke gefunden haben, die Systeme, Produkte oder Dienstleistungen der ISGroup SRL betrifft, möchten wir dies wissen, damit wir sie beheben können.

Durch die Meldung einer Sicherheitslücke an das Vulnerability Disclosure Program der ISGroup SRL bestätigen Sie, dass Sie diese Richtlinien gelesen haben und ihnen zustimmen.

Wichtig: Die ISGroup SRL bietet keine finanziellen Belohnungen für die Meldung von Sicherheitslücken an. Gültige Beiträge werden in unserer Security Hall of Fame gewürdigt.

Philosophie zur Offenlegung von Sicherheitslücken

Finder sollten…

  • Die Regeln respektieren. Innerhalb der vom Sicherheitsteam der ISGroup SRL festgelegten Regeln agieren oder sich melden, falls ein starker Dissens bezüglich der Regeln besteht.
  • Die Privatsphäre respektieren. Nach Treu und Glauben versuchen, nicht auf Daten anderer Benutzer zuzugreifen oder diese zu zerstören.
  • Geduldig sein. Nach Treu und Glauben versuchen, ihre Berichte auf Anfrage zu klären und zu unterstützen.
  • Keinen Schaden anrichten. Durch die unverzügliche Meldung aller gefundenen Sicherheitslücken zum Gemeinwohl handeln. Niemals vorsätzlich andere ohne deren Erlaubnis ausnutzen.

Das Sicherheitsteam der ISGroup wird…

  • Sicherheit priorisieren. Nach Treu und Glauben versuchen, gemeldete Sicherheitsprobleme zeitnah und transparent zu lösen.
  • Finder respektieren. Findern öffentliche Anerkennung für ihre Beiträge über die ISGroup Security Hall of Fame zukommen lassen.
  • Forschung angemessen würdigen. Obwohl die ISGroup keine finanziellen Belohnungen (Bounties) zahlt, werden wir für gültige Funde eine prominente öffentliche Anerkennung aussprechen.
  • Keinen Schaden anrichten. Keine unangemessenen Strafmaßnahmen gegen Finder ergreifen, wie etwa rechtliche Drohungen oder die Einschaltung von Strafverfolgungsbehörden, sofern die Richtlinien befolgt wurden.

Safe Harbor

Wir verpflichten uns, die Interessen der Finder zu schützen. Die Offenlegung von Sicherheitslücken ist von Natur aus komplex, aber je genauer das Verhalten eines Finders mit diesen Richtlinien übereinstimmt, desto besser können wir Sie schützen, falls eine schwierige Offenlegungssituation eskaliert.

Einreichungsprozess

  1. Überprüfen Sie die Programmrichtlinie vor der Einreichung, da diese im Konfliktfall Vorrang vor diesen Richtlinien hat.
  2. Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, senden Sie bitte einen detaillierten Bericht an: [email protected]
    Der Bericht sollte enthalten:
    • Eine klare Beschreibung des Problems.
    • Präzise, reproduzierbare Schritte oder einen funktionierenden Proof-of-Concept.
    • Erwartete Auswirkungen.
  3. Berichte, denen es an Details mangelt, können zu erheblichen Verzögerungen bei der Behebung führen.

Der Bericht wird über wichtige Meilensteine aktualisiert, einschließlich:

  • Validierung der Sicherheitslücke.
  • Anfragen für zusätzliche Informationen.
  • Benachrichtigung über die Aufnahme in die Hall of Fame, falls zutreffend.

Prozess zur Offenlegung von Sicherheitslücken

  • Standard: Wenn keine der Parteien Einwände erhebt, werden die Berichtsinhalte innerhalb von 30 Tagen nach der Behebung öffentlich gemacht.
  • Einvernehmliche Vereinbarung: Finder und ISGroup können einen individuellen Zeitplan für die Offenlegung vereinbaren.
  • Schützende Offenlegung: Wenn Beweise für eine aktive Ausnutzung oder unmittelbar drohenden Schaden vorliegen, kann die ISGroup Details zur Behebung sofort veröffentlichen.
  • Verlängerung: Einige Sicherheitslücken erfordern möglicherweise mehr als 30 Tage zur Behebung; die ISGroup bleibt mit dem Finder in Kontakt.
  • Letztes Mittel: Wenn 180 Tage vergangen sind, ohne dass die ISGroup einen Zeitplan für die Offenlegung bereitgestellt hat, kann der Finder die Informationen öffentlich machen.

Private Programme

Einige Finder können zu privaten Programmen eingeladen werden. Die Teilnahme ist optional und unterliegt einer strengen Geheimhaltungspflicht. Finder, die eine öffentliche Offenlegung anstreben, sollten nicht an privaten Programmen teilnehmen.

Alternativen:

  • Direkte Einreichung bei der ISGroup außerhalb des Programms.
  • Nutzung eines vertrauenswürdigen Drittanbieters zur Unterstützung bei der Offenlegung.

Öffentliche Anerkennung

Sie können eine öffentliche Anerkennung in der ISGroup Security Hall of Fame erhalten, wenn:

  1. Sie der Erste sind, der eine spezifische Sicherheitslücke meldet.
  2. Die Sicherheitslücke als gültig bestätigt wurde.
  3. Sie diese Richtlinien einhalten.

Finder, die Anonymität bevorzugen, können eine Anerkennung unter einem Pseudonym beantragen.

Bug-Bounty-Richtlinie

Die ISGroup SRL bietet keine finanziellen Belohnungen für Sicherheitsberichte an. Die Anerkennung erfolgt ausschließlich über die Hall of Fame.
Wir begrüßen die Teilnahme von Minderjährigen; finanzielle Belohnungen sind jedoch nicht anwendbar. Minderjährige erhalten dennoch eine öffentliche Anerkennung mit Zustimmung der Eltern oder Erziehungsberechtigten.

Definitionen

  • Sicherheitsteam: Personen, die für die Behandlung von Sicherheitsproblemen in ISGroup-Systemen verantwortlich sind.
  • Finder: Jeder, der ein potenzielles Sicherheitsproblem untersucht und meldet.
  • Bericht: Die schriftliche Beschreibung einer potenziellen Sicherheitslücke durch den Finder.
  • Sicherheitslücke: Ein Fehler oder Designmangel, der eine Handlung entgegen der beabsichtigten Sicherheitsrichtlinie ermöglicht.
  • Programm: Die veröffentlichte Richtlinie der ISGroup zur Anleitung der Sicherheitsforschung.

In

Leave a Reply

Your email address will not be published. Required fields are marked *