Responsible Disclosure Policy

Ziel

Wir schätzen die Arbeit von Sicherheitsforscher:innen, die uns dabei helfen, Schwachstellen zu identifizieren. Um eine sichere und kooperative Umgebung zu gewährleisten, bitten wir dich, die folgenden Richtlinien beim Testen und Melden von Sicherheitslücken zu beachten.

Was wir erwarten

• Keine aggressiven Tests: Bitte vermeide den Einsatz von automatisierten Scannern mit hoher Frequenz oder Tools, die unseren Server überlasten könnten.
• Keine persönlichen Daten erforschen. Vermeide den Zugriff auf, das Herunterladen oder die Veränderung von Benutzerdaten.
• Keine öffentlichen Bekanntmachungen: Melde Schwachstellen zuerst an uns und warte mindestens 30 Tage, bevor du öffentlich darüber sprichst.

Unsere Verpflichtungen

• Wir bestätigen den Erhalt deiner Meldung innerhalb von 48 Stunden.
• Wir teilen dir regelmässig Updates über den Fortschritt der Behebung mit.
• Eine finanzielle Belohnung (Bug Bounty) können wir nicht garantieren, wir erkennen deine Mitarbeit aber gerne an.

Akzeptierte Schwachstellen

Folgende Kategorien nehmen wir gerne entgegen:

• Cross-Site Scripting (XSS)
• SQL-Injection
• CSRF (Cross-Site Request Forgery)
• Authentifizierungsprobleme
• Sicherheitskonfigurationsfehler

Nicht akzeptiert

• DDoS-Angriffe
• Social Engineering gegen Mitarbeiter:innen
• Schwachstellen in Drittanbieter-Software, die keinen direkten Bezug zu unserer Infrastruktur hat

Datenschutz

Wir behandeln alle Meldungen vertraulich und speichern keine personenbezogenen Daten der meldenden Personen ohne deren Zustimmung.

Kontakt

Bei Fragen zu dieser Richtlinie wende dich bitte an unseren Kontakt.

PS: Hinterlege den Sicherheitskontakt auch auf deiner Webseite, siehe Leitfaden des BACS.