Responsible Disclosure Verantwortungsvolle Offenlegung
Diese Richtlinien sollen den Prozess für Sicherheitsforscher definieren, um potenzielle Sicherheitsprobleme in unseren Systemen zu melden. Wir schätzen Ihr Engagement für die Sicherheit unserer Dienste und danken Ihnen im Voraus für die Einhaltung dieser Richtlinien, um eine effiziente und konstruktive Zusammenarbeit zu gewährleisten.
Geltungsbereich: Diese Richtlinien gelten für alle Sicherheitsforscher, die Schwachstellen in den folgenden Domains identifizieren möchten:
- compentum.de
- app.compentum.de
Kontaktmöglichkeiten: Sie können uns über die folgenden Kanäle kontaktieren:
- E-Mail: security@compentum.de
- PGP-Schlüssel: https://compentum.de/pgp-key.txt
Inhalt der Meldung: Ihre Meldung sollte alle relevanten Informationen enthalten, wie in den folgenden Punkten beschrieben:
- Eine präzise Beschreibung der identifizierten Schwachstelle und ihrer potenziellen Auswirkungen.
- Eine schrittweise Anleitung zur Reproduktion der Schwachstelle.
- Details zu den durchgeführten Tests oder Analysen.
- Ihre Kontaktdaten, einschließlich einer sicheren Kommunikationsmöglichkeit.
Out of Scope: Die folgenden Aktivitäten sind nicht im Geltungsbereich dieser Richtlinien enthalten:
- Social Engineering-Angriffe
- Brute Force
- Best Practice:
- Passwortanforderungen
- Security Header
- Andere Konfigurationen
- Clickjacking
Reaktion und Zeitrahmen:
Wir werden alle gemeldeten Sicherheitslücken so schnell wie möglich prüfen und angemessene Maßnahmen ergreifen. Unsere Zielantwortzeit beträgt 2-3 Werktage.
Vertraulichkeit: Wir respektieren Ihre Privatsphäre und werden Ihre Identität schützen, sofern gewünscht. Wir bitten Sie jedoch, die Sicherheitslücke nicht ohne unsere Zustimmung öffentlich zu machen, bis angemessene Schutzmaßnahmen implementiert wurden.
Wir danken Ihnen für Ihre Unterstützung und Ihr Engagement bei der Sicherung unserer Systeme.