Responsible Disclosure Policy

Die Sicherheit unserer Systeme hat für Pro4all höchste Priorität. Trotz der sorgfältigen Entwicklung und kontinuierlichen Wartung unserer Produkte kann nicht ausgeschlossen werden, dass Sicherheitslücken bestehen.

Wenn Sie eine Schwachstelle in einem unserer Systeme entdecken, bitten wir Sie, uns diese unverzüglich mitzuteilen. So können wir schnell geeignete Maßnahmen ergreifen, um unsere Kunden und ihre Daten bestmöglich zu schützen.

Diese Fassung entspricht eher dem Stil, wie man ihn auf deutschen Legal- oder Compliance-Seiten erwartet: sachlich, präzise und ohne Marketingformulierungen.

Wie können Sie eine Sicherheitslücke melden?

Wenn Sie vermuten, eine Sicherheitslücke in einem unserer Systeme entdeckt zu haben, informieren Sie uns bitte so schnell wie möglich per E Mail an info@pro4all.nl

Regeln

Diese Richtlinie zur verantwortungsvollen Offenlegung von Sicherheitslücken stellt keine Aufforderung dar, unsere Netzwerke oder Anwendungen aktiv auf Schwachstellen zu untersuchen oder zu scannen. Unsere Systeme werden kontinuierlich überwacht. Entsprechende Scan-Aktivitäten werden in der Regel erkannt und überprüft.

Wir bitten Sie, Folgendes zu beachten:

  • Geben Sie keine Informationen über die Sicherheitslücke an Dritte weiter, bevor das Problem behoben wurde, und löschen Sie vertrauliche Daten, auf die Sie im Zuge Ihrer Untersuchung möglicherweise Zugriff erhalten haben, unverzüglich.
  • Nutzen Sie die Sicherheitslücke nicht weiter aus. Laden Sie beispielsweise keine größeren Datenmengen herunter, als zum Nachweis der Schwachstelle erforderlich sind, und greifen Sie nicht auf Daten Dritter zu, verändern oder löschen Sie diese nicht.
  • Stellen Sie uns möglichst detaillierte Informationen zur Verfügung, damit wir die Sicherheitslücke schnell reproduzieren, überprüfen und beheben können. Geben Sie dabei insbesondere Testdaten, Zeitstempel sowie die URL(s) der betroffenen Systeme an.
  • Hinterlassen Sie Ihre Kontaktdaten (E Mail Adresse und/oder Telefonnummer), damit wir Sie über den Fortschritt bei der Behebung informieren können. Anonyme Meldungen werden ebenfalls akzeptiert.
  • Verwenden Sie keine Methoden wie Angriffe auf die physische Sicherheit, Social Engineering, Distributed Denial of Service (DDoS), Spam oder Angriffe auf Anwendungen Dritter.

Unser Umgang mit Responsible Disclosure

Wenn Sie uns eine Sicherheitslücke melden, gehen wir wie folgt vor:

  • Wir bestätigen den Eingang Ihrer Meldung innerhalb von zehn Werktagen.
  • Innerhalb von zehn Werktagen nach der Eingangsbestätigung erhalten Sie eine Rückmeldung mit unserer Bewertung der gemeldeten Sicherheitslücke sowie einer voraussichtlichen Frist für deren Behebung.
  • Sofern Sie die in dieser Richtlinie beschriebenen Voraussetzungen eingehalten haben, werden wir im Zusammenhang mit Ihrer Meldung keine rechtlichen Schritte gegen Sie einleiten.
  • Wir behandeln Ihre Meldung vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weiter, es sei denn, dies ist zur Erfüllung gesetzlicher Verpflichtungen erforderlich.

Ausschlüsse

Diese Responsible Disclosure Richtlinie gilt nicht für:

  • Beschwerden
  • Meldungen über die Nichtverfügbarkeit der Website
  • Phishing Meldungen
  • Betrugsmeldungen

Für diese Anliegen wenden Sie sich bitte an unser Support Team unter (support@pro4all.nl).

Bug bounty Programm

Pro4all begrüßt die Meldung von Sicherheitslücken und Schwachstellen. Für die vertrauliche Meldung einer bislang unbekannten Sicherheitslücke in Design oder Implementierung, die die Vertraulichkeit oder Integrität der Daten unserer Nutzer gefährden könnte, kann Pro4all eine angemessene Prämie gewähren. Ob eine Meldung für eine Prämie infrage kommt und in welcher Höhe diese ausfällt, liegt im alleinigen Ermessen von Pro4all.

Ausschlüsse

Die folgenden Arten von Sicherheitsproblemen sind von diesem Bug Bounty Programm ausgeschlossen:

  • (D)DoS Angriffe
  • Fehlermeldungen oder Fehlerseiten, die keine sensiblen Daten enthalten
  • Berichte aus Schwachstellen Scans zu Software, die wir öffentlich einsetzen
  • Sicherheitslücken, die auf veraltete Betriebssysteme, Browser oder Plugins zurückzuführen sind
  • Meldungen zu Sicherheitslücken, über die wir bereits informiert wurden

Hinweis: Meldungen, die keine geeigneten Nachweise (z. B. Screenshots oder andere Belege), keine ausreichenden Informationen oder keine nachvollziehbare Beschreibung zur Reproduktion des gemeldeten Sachverhalts enthalten, werden zwar geprüft, sind jedoch nicht für eine Prämie im Rahmen des Bug Bounty Programms qualifiziert.

Diese Richtlinie basiert auf den Responsible Disclosure Guidelines des National Cyber Security Centre (NCSC).