Responsible Disclosure Accon avm

Responsible Disclosure Accon avm

Wir bei acconavm betrachten die Sicherheit unserer Systeme als äußerst wichtig. Doch auch bei all den Bemühungen, die wir zur Maximierung der Sicherheit unternehmen, kann es zu Schwachstellen im System kommen.

Sollten Sie eine solche Schwachstelle in einem unserer Systeme festgestellt haben, lassen Sie uns dies bitte wissen, damit wir das Problem schnellstmöglich beheben können. Wir möchten gerne gemeinsam mit Ihnen noch mehr Sicherheit für unsere Kunden und Systeme bieten.

Wir bitten Sie deshalb höflich:

  • Senden Sie einen Brief an ict@acconavm.nl, in dem Sie uns erklären, dass Sie uns Informationen zukommen lassen möchten. Sie erhalten dann von uns Anweisungen, wie Sie uns diese Informationen über eine gesicherte Verbindung übermitteln können.
  • Verschärfen Sie das Problem nicht, beispielsweise indem Sie mehr Daten als notwendig herunterladen, um die Sicherheitslücke zu demonstrieren oder Daten von Dritten einzusehen, zu löschen oder zu ändern.
  • Kommunizieren Sie die Angelegenheit nicht gegenüber Dritten, bis sie geklärt wurde, und vernichten Sie alle vertraulichen Daten, die Sie infolge der Sicherheitslücke erlangt haben, unmittelbar nachdem sie behoben wurde.
  • Unternehmen Sie keine Angriffe auf die physische Sicherheit, machen Sie keinen Gebrauch von Social Engineering oder DDoS (Distributed Denial of Service), versenden Sie keine Spam-Mails und nutzen Sie keine Drittanwendungen.
  • Stellen Sie uns ausreichende Informationen zur Verfügung, damit wir das Problem reproduzieren und schnellstmöglich beheben können. Normalerweise sind die IP-Adresse oder die URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle ausreichend, doch im Falle von komplexeren Sicherheitslücken werden möglicherweise weitere Angaben benötigt.

Was wir versprechen:

  • Wir werden Ihre Meldung innerhalb von drei Tagen beantworten und Ihnen unsere Beurteilung der Meldung sowie das Datum, an dem wir das Problem voraussichtlich beheben werden, mitteilen.
  • Wenn Sie die oben genannten Bedingungen eingehalten haben, werden wir keine rechtlichen Maßnahmen aufgrund der Meldung gegen Sie ergreifen.
  • Wir werden Ihre Meldung vertraulich behandeln und Ihre personenbezogenen Daten ohne Ihre Zustimmung nicht an Dritte weitergeben, es sei denn, die Weitergabe ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich. Wir melden das Problem gegebenenfalls unter einem Pseudonym.
  • Wir werden Sie über unsere Fortschritte bei der Behebung des Problems auf dem Laufenden halten.
  • Falls Sie dies wünschen, werden wir Ihren Namen in jeglicher Kommunikation zu dem Problem als den Namen der Person, die das Problem identifiziert hat, nennen.
  • Als Dank für Ihre Hilfe bieten wir eine Belohnung für jede Meldung eines sicherheitsrelevanten Problems, das uns bis zu Ihrer Meldung noch nicht bekannt war. Die Höhe der Belohnung hängt von der Schwere der Sicherheitslücke und von der Qualität der Meldung ab. Die Mindestbelohnung ist ein Gutschein über € 50,00.

Wir sind bemüht, jegliches Problem schnellstmöglich zu lösen und würden es begrüßen, in Veröffentlichungen zu der Angelegenheit, nachdem sie geklärt wurde, einbezogen zu werden.