Bei OneConcepts GmbH nehmen wir die Sicherheit unserer Systeme sehr ernst. Trotz unserer Bemühungen, unsere Systeme sicher zu gestalten, ist es möglich, dass Schwachstellen existieren. Wenn Sie eine Schwachstelle in einem unserer Systeme gefunden haben, freuen wir uns über Ihre Meldung, um umgehend entsprechende Maßnahmen ergreifen zu können. Wir möchten mit Ihnen zusammenarbeiten, um unsere Kunden und Systeme besser zu schützen.
Wir bitten Sie:
- Ihre Erkenntnisse per E-Mail an [email protected] zu senden;
- Das Problem nicht auszunutzen, beispielsweise durch das Herunterladen von mehr Daten als nötig, um die Sicherheitslücke nachzuweisen, oder durch das Einsehen, Löschen oder Ändern von Daten Dritter;
- Das Problem nicht mit anderen zu teilen, bis es behoben ist, und alle vertraulichen Informationen, die durch die Sicherheitslücke erlangt wurden, unmittelbar nach deren Schließung zu löschen;
- Keine Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service (DDoS), Spam oder Anwendungen Dritter zu verwenden;
- Ausreichend Informationen zur Verfügung zu stellen, um das Problem reproduzieren zu können, damit wir es schnellstmöglich beheben können. In der Regel reichen IP-Adresse oder URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, bei komplexeren Problemen könnten zusätzliche Details erforderlich sein.
Unser Versprechen:
- Wir reagieren innerhalb von 5 Tagen auf Ihre Meldung. Dabei teilen wir Ihnen mit, ob uns die Schwachstelle bereits bekannt ist oder nicht. Falls es sich um eine unbekannte Schwachstelle handelt, bewerten wir das Risiko und entscheiden, ob wir Ihre vorgeschlagene Lösung implementieren. Ist dies der Fall, halten wir Sie über den Fortschritt bei der Behebung auf dem Laufenden;
- Als Dankeschön für Ihre Unterstützung bieten wir eine Belohnung von 25 € für jede Meldung eines uns unbekannten Sicherheitsproblems, für das wir eine Lösung implementieren;
- Sofern Sie die oben genannten Bedingungen einhalten, werden wir keine rechtlichen Schritte bezüglich Ihrer Meldung gegen Sie einleiten;
- Wir behandeln Ihre Meldung vertraulich und geben Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weiter, außer wenn dies gesetzlich erforderlich ist. Meldungen unter einem Pseudonym sind möglich. Bei einer eventuellen Kommunikation über das gemeldete Problem nennen wir Ihren Namen nur dann, wenn Sie dies ausdrücklich wünschen.
Wir bemühen uns, alle gemeldeten Probleme schnellstmöglich zu beheben und wünschen, bei eventuellen Veröffentlichungen über das behobene Problem einbezogen zu werden.