Einführung
Wir sind uns der wertvollen Rolle der Forschungsgemeinschaft im Bereich der digitalen Sicherheit bewusst und begrüßen Berichte von Entdeckern über potenzielle Schwachstellen in unseren Produkten und Systemen. Wir möchten so schnell wie möglich informiert werden, damit wir die notwendigen Maßnahmen ergreifen können, um unsere Kunden zu schützen und die Vertraulichkeit, Verfügbarkeit und Integrität unserer Systeme zu stärken. Wenn Sie eine Schwachstelle identifiziert haben, geben wir Ihnen die Möglichkeit, uns verantwortungsvoll zu informieren.
Bitte geben Sie die folgenden Informationen an:
- Die Art des festgestellten Fehlers oder der festgestellten Entdeckung
- Die Schritte, die für die Replikation erforderlich sind
- Die Anwendungen, Programme oder Tools, die Sie zur Identifizierung der Sicherheitsanfälligkeit verwendet haben
- Datum und Uhrzeit der Durchführung der Tests
- Falls Sie es für angemessen halten, fügen Sie Bilder oder Videos bei, die das Problem wiedergeben
- Ihre Kontaktdaten, wenn Sie kontaktiert werden möchten. Wenn Sie anonym bleiben möchten, nutzen Sie bitte einen anonymen E-Mail-Transferdienst. Wir nehmen auch anonyme Meldungen ernst
- Ihre Offenlegungspläne
- Ihr Wunsch nach öffentlicher Anerkennung oder nicht
Dies gilt, wenn Sie eine verschlüsselte E-Mail verwenden, um mit uns in Kontakt zu treten. Wenn Sie stattdessen das Formular "Vorfall und Schwachstelle melden" verwenden, müssen Sie alle erforderlichen Felder ausfüllen, und wir haben das, was wir brauchen.
Regeln
- Geben Sie Informationen zu Sicherheitsrisiken nicht an Dritte weiter, bis das Problem behoben ist.
- Ergreifen Sie keine Maßnahmen, die über das hinausgehen, was erforderlich ist, um das Sicherheitsproblem nachzuweisen.
- Missbrauchen Sie die Schwachstelle nicht. Sammeln Sie nur die Informationen, die erforderlich sind, um uns über das Problem zu informieren.
- Speichern Sie keine vertraulichen Daten, die durch diese Sicherheitsanfälligkeit erlangt wurden.
- Sie dürfen Daten nicht löschen, ändern oder beschädigen.
- Verursachen Sie keine Dienstunterbrechungen oder Systemfehlfunktionen, wenn Sie auf die von Ihnen entdeckte Schwachstelle testen.
- Führen Sie keine physischen Angriffe oder DDOS-Angriffe durch.
- Versuche von Social Engineering, Installation von Malware, Phishing, Passwortdiebstahl sind verboten.
Was wird HMS Networks tun?
- Sie erhalten innerhalb von drei Werktagen nach Ihrer Erklärung eine Empfangsbestätigung von HMS.
- Wir benötigen eine angemessene Zeitspanne, um die Schwachstelle zu beheben, bevor die Informationen veröffentlicht werden. Nach der Analyse der Schwachstelle vereinbaren wir mit Ihnen die Mittel zur Schadensbegrenzung und den voraussichtlichen Zeitplan für ihre Umsetzung.
- Wir benachrichtigen Sie, sobald die Schwachstelle behoben wurde.
- HMS wird gemeinsam mit Ihnen entscheiden, ob und wie das Problem veröffentlicht wird.
- Das Problem wird erst veröffentlicht, wenn es behoben ist. Wenn Sie es wünschen, nennt HMS Ihren Namen als Entdecker.
Ausschlüsse
Dieses Programm zur verantwortungsvollen Offenlegung ist nicht für Beschwerden gedacht. Das Programm ist auch nicht für Nachfolgendes bestimmt:
- Melden, dass die Website nicht verfügbar ist.
- Falsche E-Mails melden (Phishing).
- Betrug melden.
- Anforderung von Support für unsere Produkte.
Bei Fragen zu diesen Themen und bei weiteren Fragen besuchen Sie bitte unsere Kontaktseite.
Entschädigung
HMS Networks bietet keine Entschädigung für die Entdeckung von Schwachstellen.
Nichteinhaltung dieser Regeln
Wenn Sie gegen die oben genannten Regeln verstoßen, behält sich HMS Networks das Recht vor, rechtliche Schritte einzuleiten.
Verschlüsselter E-Mail-Schlüssel
Wenn Sie glauben, dass Sie ein Sicherheitsproblem mit unseren Produkten oder Dienstleistungen entdeckt haben, benachrichtigen Sie uns bitte so schnell wie möglich über die folgende E-Mail: [email protected].
Wenn Sie uns eine verschlüsselte E-Mail senden möchten, verwenden Sie die folgende Adresse
[email protected] Für die verschlüsselte Kommunikation steht folgender öffentlicher PGP-Schlüssel zur Verfügung:
Schlüssel-ID: 3F982669
Schlüssel-Fingerabdruck: 9810 5448 5CC5 2102 07D8 A6EF 7DA2 7ECE 3F98 2669