Verantwortungsvolle Offenlegung

Haben Sie eine Schwachstelle entdeckt? Lassen Sie es uns wissen.

Bei Pon Holdings B.V. und ihren Tochtergesellschaften erachten wir natürlich die Sicherheit unserer Systeme und unseres Netzwerks als äußerst wichtig. Wir sind überzeugt, dass gute Sicherheit unerlässlich ist, um das Vertrauen zu erhalten, das unsere Kunden, Lieferanten und Mitarbeiter in uns setzen. Trotz aller Sorgfalt, die in die Sicherheit unserer Systeme investiert wurde, ist es jedoch immer noch möglich, dass Schwachstellen entdeckt werden könnten.

Durch unsere verantwortungsvolle Offenlegungsrichtlinie bitten wir jeden, der eine Schwachstelle entdeckt hat, diese so schnell wie möglich zu melden, damit wir angemessene Gegenmaßnahmen ergreifen können. Wir würden uns freuen, mit Ihnen zusammenzuarbeiten, um die Schwachstelle zu beheben. Unsere verantwortungsvolle Offenlegungsrichtlinie ist keine Aufforderung, unser Firmennetzwerk aktiv und detailliert nach Schwachstellen zu durchsuchen, da wir das Netzwerk bereits überwachen.

Wir bitten Sie darum:

  • Melden Sie Ihre Entdeckungen so schnell wie möglich an rd@pon.com. Wenn Sie Ihren Bericht verschlüsseln möchten, bevor Sie ihn versenden, teilen Sie uns dies bitte in Ihrer E-Mail mit, und wir werden Ihnen entsprechende Anweisungen geben.
  • Uns genügend Informationen zu liefern, um die Schwachstelle reproduzieren zu können, damit wir sie so schnell wie möglich beheben können. Gewöhnlich reichen die IP-Adresse oder URL für das betroffene System und eine Beschreibung der Schwachstelle aus, jedoch können komplexere Schwachstellen zusätzliche Informationen erfordern.
  • Die Schwachstelle nicht durch Herunterladen, Anzeigen, Löschen oder Bearbeiten von Daten zu missbrauchen.
  • Schwachstellen nicht mit anderen teilen, bis sie gelöst werden können. Wenn Sie versehentlich vertrauliche Informationen erhalten haben, bitten wir Sie, die Daten sofort zu löschen.
  • Keine Angriffe auf die physische Sicherheit oder Anwendungen Dritter, kein Social Engineering, kein Distributed Denial of Service (DDoS), keinen Spam und keine Hacker-Tools wie beispielsweise Schwachstellen-Scanner zu verwenden.

 

Was Sie erwarten können:

  • Wir werden Ihren Bericht immer ernst nehmen. Wir werden auch alle vermuteten Schwachstellen untersuchen.
  • Wir werden auf Ihren Bericht innerhalb von 5 Arbeitstagen mit unserer Evaluierung des Berichts und einem voraussichtlichen Datum für die Lösung antworten.
  • Wir werden Sie über die Fortschritte bei der Beseitigung der Schwachstelle auf dem Laufenden halten.
  • Wenn Sie sich an die oben aufgeführten Bedingungen halten, werden wir keine rechtlichen Schritte gegen Sie bezüglich des Berichts einleiten. Die Staatsanwaltschaft behält sich das Recht vor, zu entscheiden, ob zusätzliche Ermittlungen notwendig sind.
  • Wir werden Ihren Bericht vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben, es sei denn, dies ist gesetzlich vorgeschrieben, beispielsweise wenn Ihre Daten von der Polizei oder den Gerichten angefordert werden.
  • Wenn Sie einen anonymen Bericht einreichen, können wir Sie möglicherweise nicht mit Informationen über die weiteren Schritte und den Fortschritt bei der Lösung der Schwachstelle kontaktieren.
  • Wir dürfen unsere Wertschätzung mit einem maximalen Wert von 50 EUR ausdrücken. Dies wird von der Schwere der Schwachstelle und der Qualität des Berichts abhängen.
  • Auf Ihren Wunsch können wir in allen Meldungen über den Vorfall Ihren Namen als die Person nennen, die die Schwachstelle entdeckt hat.
  • Wir bemühen uns, eventuelle Schwachstellen so schnell wie möglich nach ihrer Entdeckung zu analysieren und erforderlichenfalls zu beheben. Wir werden auch alle Stakeholder über das Thema auf dem Laufenden halten.

 

Diese Leitlinie zur verantwortungsvollen Offenlegung basiert auf der Richtlinie zur verantwortungsvollen Offenlegung, die vom National Cyber Security Centre veröffentlicht wurde, und auf dem Muster für verantwortungsvolle Offenlegung, das von Floor Terra verfasst wurde.