Leitlinien zur Offenlegung von Schwachstellen

Einführung

Bei Ivalua erlauben wir es nicht, unsere Infrastruktur aktiv zu überprüfen, aber wir ermutigen zu einer verantwortungsvollen Offenlegung aller Schwachstellen, die in unseren Systemen oder Anwendungen gefunden werden. Diese Richtlinien geben Ihnen Hinweise, wie Sie Schwachstellen verantwortungsvoll melden können und was Sie von uns als Reaktion erwarten können.

Umfang

Diese Richtlinien gelten für alle digitalen Assets, die Ivalua gehören oder von Ivalua betrieben oder gepflegt werden, einschließlich, aber nicht beschränkt auf Websites, Anwendungen und Datenbanken. Für die nachfolgend als ausgeschlossen beschriebenen Aktivitäten (siehe „Ausschlüsse“) wird keine Genehmigung erteilt.

Diese Richtlinien gelten nicht für bestehende Ivalua-Kunden oder autorisierte Benutzer. Wenn Sie ein autorisierter Benutzer sind, gelten für Sicherheitstests und die Offenlegung von Schwachstellen nur die Rechte und Einschränkungen, die ausdrücklich in der Vereinbarung zwischen Ihrer Organisation und Ivalua festgelegt sind.

Wie eine Schwachstelle offengelegt werden sollte

Um eine Sicherheitslücke zu melden, gehen Sie bitte folgendermaßen vor:

• Senden Sie Ihre Informationen per E-Mail: Schicken Sie eine E-Mail an [email protected].
• Geben Sie detaillierte Informationen an: Geben Sie so viele Informationen wie möglich über die Schwachstelle an, z. B:
  • Die URL oder der Ort der Schwachstelle.
  • Eine detaillierte Beschreibung der Schwachstelle.
  • Schritte zur Reproduktion der Schwachstelle (Proof-of-Concept-Skripte oder Screenshots können hilfreich sein).​​​​​​​
  • Mögliche Auswirkungen der Schwachstelle.
  • Behandeln Sie sie vertraulich: Geben Sie die Schwachstelle nicht an andere weiter, bis wir die Möglichkeit hatten, sie zu untersuchen und zu beheben.

Was Sie nach Meldung einer Schwachstelle erwarten können

• Bestätigung: Wir werden den Eingang Ihrer Meldung nach Möglichkeit bestätigen.
• Kommunikation: Wenn wir es für angemessen halten, werden wir Sie über den Status Ihres Berichts informieren.​​​​​​​
• Bewertung und Validierung: Unsere internen Teams bewerten und validieren die gemeldete Schwachstelle.​​​​​​​
• Behebung: Wir bewerten die gemeldeten Ergebnisse und beheben validierte Schwachstellen in Übereinstimmung mit unseren internen Richtlinien und Prozessen.​​​​​​​
• Offenlegung: Falls erforderlich, stimmen wir uns mit Ihnen über den Zeitpunkt und die Einzelheiten einer eventuellen Offenlegung ab.

Ausschlüsse

Diese Leitlinien stellen keinen Verzicht auf die Rechte dar, die Ivalua nach geltendem Recht zustehen. Bitte beachten Sie, dass die Durchführung von Tests oder die Aufforderung zum Testen von Systemen Dritter ohne deren Zustimmung im Allgemeinen als unbefugter Zugriff im Sinne verschiedener Gesetze, wie z. B. des Computer Fraud and Abuse Act (CFAA) in den Vereinigten Staaten und ähnlicher Gesetze in anderen Rechtsordnungen, angesehen wird.​​​​​​​ Dies kann zu einer straf- und zivilrechtlichen Haftung sowohl für die Organisatoren als auch für die Teilnehmer von nicht genehmigten Sicherheitstests führen.

Infolgedessen sind die folgenden Testmethoden nicht zulässig:

• Denial-of-Service-Angriffe (DoS oder DDoS).
• Physische Angriffe auf unsere Büros oder Rechenzentren.
• Social Engineering und Spam-Angriffe gegen unsere Mitarbeiter, Auftragnehmer oder Kunden.
• Automatisiertes Scannen von Ivalua-Assets.
• Jede andere Aktivität, die unsere Benutzer oder Dienste stören, beschädigen oder schädigen könnte.
• Login-Versuche nicht-autorisierter Benutzer in Ivalua-Systeme.
• Versuche, eine erkannte oder gemeldete Sicherheitslücke auszunutzen.​​​​​​​

Kontaktinformationen

Für Meldungen und/oder Fragen zu dieser Richtlinie oder dem Meldeverfahren wenden Sie sich bitte an [email protected].