de_DE_formal Deutsch (Sie)
de_DE_formal Deutsch (Sie) en_US English fr_FR Français
Vertrauen und Sicherheit

Externe Richtlinie zur Offenlegung von Schwachstellen

Inhaltsübersicht

1. Zweck

PROS ist bestrebt, die höchsten Sicherheitsstandards für seine Softwareprodukte und Dienstleistungen einzuhalten. Diese Richtlinie zur Offenlegung externer Schwachstellen legt dar, wie Sicherheitsforscher, ethische Hacker und externe Parteien Schwachstellen, die sie in unseren Systemen entdecken, verantwortungsvoll melden können, um die Sicherheit und Integrität unserer Produkte und das das Vertrauen unserer Benutzer.

2. Umfang

Diese Richtlinie gilt für alle externen Parteien (Forscher, ethische Hacker und andere Beteiligte), die Schwachstellen in PROS-Softwareprodukten, -Diensten, -Websites und der zugehörigen Infrastruktur melden. Sie deckt alle Formen von Schwachstellen, einschließlich, aber nicht beschränkt auf:
  • Software-Anwendungen (Web, Mobile, Desktop)
  • APIs und Webdienste
  • Cloud-Infrastruktur
  • Netzdienste
  • Dokumentation und öffentlich zugängliche Ressourcen
Ausgeschlossen: Diese Richtlinie gilt nicht für Schwachstellen, die in internen Systemen oder in nicht öffentlich zugänglichen Systemen entdeckt wurden, es sei denn, sie wurden von PROS ausdrücklich genehmigt.

3. Begriffsbestimmungen

  • Anfälligkeit: Eine Schwachstelle im System, die ausgenutzt werden kann, um die Vertraulichkeit, Integrität oder Verfügbarkeit des Systems oder seiner Daten zu gefährden.
  • Verantwortungsvolle Offenlegung: Die Praxis der privaten Meldung von Sicherheitsschwachstellen an die betroffene Organisation zu melden, damit diese Zeit hat, das Problem zu beheben, bevor es öffentlich bekannt wird.
  • Sicherer Zufluchtsort: Rechtsschutz für Personen, die Schwachstellen in gutem Glauben melden, um rechtliche Schritte durch rechtliche Schritte durch PROS, solange die Meldung im Einklang mit der Richtlinie steht.

4. Politische Erklärungen

4.1. Förderung einer verantwortungsvollen Offenlegung

PROS ermutigt Sicherheitsforscher und externe Parteien, Schwachstellen verantwortungsbewusst zu melden. Wir schätzen die Beiträge der Sicherheitsgemeinschaft zur Verbesserung der Sicherheit unserer Produkte und Dienstleistungen.

4.2. Legal Safe Harbor

Zum Schutz von Personen, die Schwachstellen in gutem Glauben melden, bietet PROS Safe-Harbor-Bestimmungen an. PROS wird keine rechtlichen Schritte gegen sie einleiten, solange der Melder:
  • Engagiert sich für verantwortungsvolles und ethisches Verhalten.
  • Führt keine unautorisierten Tests oder Aktionen durch, die über das hinausgehen, was zur Aufdeckung der Schwachstelle notwendig ist.
  • Er hält sich an die in dieser Richtlinie dargelegten Leitlinien.

4.3. Keine Berechtigung zum Zugriff

Diese Richtlinie gewährt keine Erlaubnis, Sicherheitstests durchzuführen oder auf Systeme zuzugreifen, die über das hinausgehen, was notwendig ist, um um die Schwachstelle zu identifizieren und zu melden. Unbefugter Zugriff oder Tests können gegen geltende Gesetze verstoßen.

5. Berichtsverfahren

5.1. So melden Sie eine Schwachstelle

Schwachstellen können über die folgenden Kanäle gemeldet werden:

5.2. Erforderliche Informationen

Wenn Sie eine Schwachstelle melden, geben Sie bitte die folgenden Informationen an, um eine rechtzeitige Bewertung und Abhilfe zu erleichtern:
  • Kontaktinformationen: Ihren Namen, Ihre E-Mail-Adresse und andere relevante Kontaktinformationen.
  • Beschreibung: Eine klare und detaillierte Beschreibung der Schwachstelle.
  • Auswirkungen: Mögliche Auswirkungen und Schwere der Schwachstelle.
  • Reproduktionsschritte: Schritt-für-Schritt-Anleitung zur Reproduktion der Sicherheitslücke.
  • Konzeptnachweis: Codeausschnitte, Screenshots oder andere Beweise, die die Sicherheitslücke belegen.
  • Betroffene Systeme: Spezifische betroffene Produkte, Dienste oder Versionen.

6. Antwort und Empfangsbestätigung

6.1. Erstmalige Quittierung

Nach Erhalt einer Schwachstellenmeldung bestätigt PROS den Empfang innerhalb von 5 Werktagen. Die Bestätigung wird enthalten:
  • Bestätigung, dass der Bericht eingegangen ist.
  • Eine Referenznummer zur Nachverfolgung.
  • Einen voraussichtlichen Zeitplan für die weitere Kommunikation.

6.2. Bewertung und Abhilfemaßnahmen

PROS wird:
  • Beurteilen Sie die Gültigkeit und den Schweregrad der gemeldeten Schwachstelle.
  • Priorisierung der Abhilfemaßnahmen auf der Grundlage der Auswirkungen und des Risikos.

6.3. Abschließende Mitteilung

Sobald die Schwachstelle behoben ist, wird PROS:
  • Informieren Sie den Berichterstatter, dass das Problem gelöst wurde.
  • Koordinierung der öffentlichen Bekanntgabe (falls zutreffend) in einem gemeinsam vereinbarten Zeitrahmen.

7. Anerkennungen und Belohnungen

PROS bietet KEINE finanzielle Entschädigung für Sicherheitslücken an. PROS bietet jedoch ein Anerkennungszertifikat für alle gültigen Schwachstellenmeldungen an.

8. Leitlinien für eine verantwortungsvolle Offenlegung

Um eine verantwortungsvolle Offenlegung zu gewährleisten, sollten sich die Berichterstatter an die folgenden Leitlinien halten:
  • Nicht ausnutzen: Nutzen Sie die Schwachstelle nur so weit aus, wie es für den Nachweis ihrer Existenz erforderlich ist.
  • Nicht öffentlich bekannt geben: die Schwachstelle nicht öffentlich bekannt zu geben, bis das Unternehmen genügend Zeit hatte ausreichend Zeit hatte, sie zu beheben.
  • Respektieren Sie die Privatsphäre: Vermeiden Sie es, auf Benutzerdaten oder private Informationen zuzugreifen oder diese preiszugeben.
  • Minimal Impact Testing: Führen Sie die Tests so durch, dass die Dienste nicht gestört oder andere Nutzer beeinträchtigt werden.

9. Compliance und rechtliche Erwägungen

  • Anwendbare Gesetze: Berichterstatter müssen alle geltenden lokalen, nationalen und internationalen Gesetze einhalten, wenn sie Schwachstellen testen und melden.
  • Privatsphäre: PROS respektiert die Privatsphäre aller Personen und verpflichtet sich zum Schutz persönlicher Daten.

10. Kontaktinformationen

Wenn Sie Fragen zu dieser Politik haben oder weitere Unterstützung benötigen, wenden Sie sich bitte an:

Vielen Dank, dass Sie uns helfen, die Sicherheit und Integrität der PROS-Produkte und -Dienstleistungen zu gewährleisten. Ihre Beiträge sind hoch geschätzt und gewürdigt.