Verantwortungsvolle Offenlegung

Bei Blanco Services legen wir größten Wert auf die Sicherheit unserer Systeme, unseres Netzwerks und unserer Produkte. Trotz der großen Sorgfalt, die wir in Bezug auf die Sicherheit walten lassen, können Schwachstellen bestehen bleiben. Wenn Sie eine solche Schwachstelle gefunden haben, möchten wir davon so schnell wie möglich erfahren, damit wir so schnell wie möglich entsprechende Maßnahmen ergreifen können.

Schwachstellen können auf zwei Arten entdeckt werden: Man kann bei der normalen Nutzung einer digitalen Umgebung versehentlich auf etwas stoßen oder man kann ausdrücklich sein Bestes tun, um etwas zu finden.

Unsere Richtlinie zur verantwortungsvollen Offenlegung ist keine Einladung, unser Unternehmensnetzwerk aktiv zu durchsuchen, um Schwachstellen aufzudecken. Wir überwachen unser Geschäftsnetzwerk selbst. Dies bedeutet, dass die Wahrscheinlichkeit hoch ist, dass ein Scan erkannt wird und dass eine Untersuchung durch unser IT-Team durchgeführt wird, was zu unnötigen Kosten führen kann.

Sie können jedoch eingeladen werden, aktiv nach Schwachstellen in unseren Produkten in einer speziellen Umgebung durch unser Bug Bounty“-Programm auf HackerOne zu suchen. Wenn Sie zu unserem privaten Programm eingeladen werden möchten, können Sie gerne eine Anfrage an security@​useblanco.​com mit Ihrem HackerOne-Benutzernamen senden. Andere aktive Suchprogramme für Schwachstellen sind nur mit schriftlicher Zustimmung von Blanco Services zulässig.

Unsere Verantwortung gegenüber unseren Kunden bedeutet, dass wir keine Hacking-Versuche auf unsere Infrastruktur fördern wollen; wir möchten jedoch so schnell wie möglich von Ihnen hören, wenn Schwachstellen gefunden werden, damit wir sie angemessen beheben können.

Wir möchten mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Systeme besser schützen zu können.

Wenn Sie eine Schwachstelle gefunden haben:

  • Senden Sie Ihre Ergebnisse so schnell wie möglich per E‑Mail an security@​useblanco.​com.
  • Missbrauchen Sie die Sicherheitslücke nicht, z.B. durch Herunterladen, Bearbeiten oder Löschen von Daten. Wir werden Ihren Bericht immer ernst nehmen und jeden Verdacht auf eine Schwachstelle untersuchen, auch ohne Beweise.
  • Teilen Sie das Problem nicht mit anderen, bis es gelöst ist.
  • Machen Sie keinen Gebrauch von Angriffen auf die physische Sicherheitsmaßnahmen, Social Engineering oder Hacking-Tools wie Schwachstellenscanner.
  • Geben Sie ausreichend Informationen über das Problem weiter, damit wir es so schnell wie möglich lösen können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, obwohl bei komplexeren Schwachstellen mehr Informationen erforderlich sein können.

Was wir Ihnen versprechen:

  • Wir werden auf Ihren Bericht innerhalb von drei Werktagen antworten, mit unserer Bewertung des Berichts und einem voraussichtlichen Beschlussdatum.
  • Wir werden Ihren Bericht vertraulich behandeln und Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben. Eine Ausnahme bilden Polizei und Justiz im Falle einer Strafverfolgung oder wenn Informationen angefordert werden.
  • Wir werden Sie über den Fortschritt der Problemlösung auf dem Laufenden halten.
  • Bei der Kommunikation über das gemeldete Problem geben wir Ihren Namen als die Partei an, die das Problem entdeckt hat, wenn Sie dies möchten.
  • Es ist leider nicht möglich, im Voraus zu garantieren, dass keine rechtlichen Schritte gegen Sie eingeleitet werden. Wir hoffen, dass wir jede Situation individuell berücksichtigen können. Wir fühlen uns moralisch verpflichtet, Sie zu informieren, wenn wir vermuten, dass die Schwachstelle oder die Daten missbraucht werden oder dass Sie das Wissen über die Schwachstelle mit anderen geteilt haben. Sie können sicher sein, dass eine versehentliche Entdeckung in unserer Online-Umgebung nicht zu einer Strafverfolgung führt.
  • Als Dankeschön für Ihre Hilfe bieten wir eine Belohnung für jeden Bericht über ein Sicherheitsproblem, das uns nicht bekannt ist. Wir bestimmen den Wert der Belohnung auf der Grundlage der Schwere der Verletzung und der Qualität des Berichts.

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, alle Beteiligten auf dem Laufenden zu halten und möchten an jeder Veröffentlichung über das Problem beteiligt sein, sobald es gelöst ist. Mit Dank an Floor Terra für seinen Mustertext auf Niederländisch auf http://​respon​si​bledis​clo​sure​.nl/