ivocotec Logo
|
en

Meldung von Sicherheitslücken (Vulnerability Disclosure Policy – VDP)

Wir respektieren und begrüßen die Arbeit von Sicherheitsforscher*innen und White-Hat-Hacker*innen und bitten ausdrücklich darum, gefundene Sicherheitsprobleme auf ivocopro.de oder ivocotec.de an security@ivocotec.de zu melden.

Wenn Sie sich an unsere untenstehenden Richtlinien halten, betrachten wir Ihr entsprechendes Handeln NICHT als "unbefugt" oder "rechtswidrig" im Sinne der Paragraphen 202a, 303a StGB. Wir sehen in diesem Fall von straf- und/oder zivilrechtlicher Verfolgung ab und werden das auch im Falle von Nachfragen gegenüber Dritten so bestätigen.

Hierfür gelten folgende Bedingungen:

Sie informieren uns zuerst über das Problem und geben die Kenntnis nicht an Dritte weiter. Sie geben uns hinreichend Zeit, Sicherheitslücken zu schließen, bevor Sie diese veröffentlichen.

Sie testen unsere Applikation und unsere Systeme ausschließlich aus der Ferne über das Internet. Jedweder Versuch, physischen Zugang zu Rechnern von ivocoTec, unseren Vertragspartnern oder Kunden zu erlangen, wird nicht von dieser Richtlinie abgedeckt.

Sie haben alle Bemühungen unternommen, unseren Systemen nicht zu schaden und keine fremden Daten auszulesen, zu löschen oder zu manipulieren. Sie unternehmen insbesondere keinen Versuch einer Denial-of-Service-Attacke und nutzen nur eigene Testaccounts (wenn vorhanden). Sollten Sie im Rahmen Ihrer Forschungen aus Versehen auf fremde sensible Daten stoßen, informieren Sie uns bitte sofort, speichern Sie die Daten nirgendwo und löschen Sie alle vorhandenen Kopien.

Selbstverständlich versuchen Sie nicht, uns oder unsere Kunden zu erpressen. Wir verhandeln generell nicht unter Drohungen. Wenn Sie etwas finden, setzen Sie uns bitte darüber in Kenntnis. Anschließend entscheiden wir ggf. über eine Belohnung und deren Höhe.

Momentan unterhalten wir kein öffentliches Bug-Bounty-Programm. Sollte es zum Zeitpunkt der Meldung einer Sicherheitslücke/Problems jedoch ein (privates) Bug-Bounty-Programm, eine Hacker-Challenge oder ähnliches geben, werden wir direkt und außerhalb dieses Programms an uns gemeldete Probleme gleich behandeln und ggf. auch gleich belohnen.