search
Log inBook a demo

bugProgramm zur Meldung von Sicherheitslücken

Dispel verpflichtet sich zur Aufrechterhaltung der Sicherheit, Integrität und Verfügbarkeit unserer Systeme, Produkte und Dienstleistungen. Wir erkennen an, dass Sicherheitsforscher und Mitglieder der breiteren Cybersicherheitsgemeinschaft eine wichtige Rolle bei der Identifizierung von Schwachstellen spielen. Wir begrüßen verantwortungsbewusste, gutgläubige Untersuchungen, die in einer Weise durchgeführt werden, die unsere Kunden und unsere Betriebsumgebungen schützt.

hashtag
Geltungsbereich

Dieses Programm gilt für bestimmte öffentlich zugängliche Systeme, Dienste, Anwendungen, APIs und Websites, die von Dispel betrieben und verwaltet werden, einschließlich dispel.com-bezogener Subdomains sowie von Dispel entwickelter Software und gehosteter Dienste.

Die spezifischen Dienste im Geltungsbereich sind:

  • dashboard.dispel.io

  • app.dispel.com

  • api.dispel.com

Diese Dienste sind nicht im Geltungsbereich:

  • dispel.com

  • status.dispel.com

  • docs.dispel.com

  • help.dispel.io

Von diesem Programm nicht autorisiert sind kundengesteuerte Umgebungen, Systeme Dritter, Social Engineering, physischer Eindringversuch, Denial-of-Service-Aktivitäten, automatisierte Scans, die die Leistung beeinträchtigen, sowie jegliche Tests, die betriebliche oder sicherheitskritische Systeme stören könnten.

hashtag
Wie man eine Schwachstelle meldet

Wenn Sie glauben, eine Sicherheitslücke identifiziert zu haben, melden Sie diese bitte an:

[email protected]

Um uns die Bewertung des Problems zu erleichtern, fügen Sie bitte Folgendes bei:

  • Eine Beschreibung der Schwachstelle

  • Das betroffene System oder die URL

  • Schritte zur Reproduzierung des Problems

  • Jegliche unterstützenden Beweise oder Proof-of-Concept

  • Ihre Kontaktinformationen

Beim Übermitteln sensibler Informationen wird verschlüsselte Kommunikation empfohlen.

hashtag
Unser Engagement

Wenn ein Bericht gutgläubig und in Übereinstimmung mit diesem Programm eingereicht wird, wird Dispel:

  • Den Eingang innerhalb eines angemessenen Zeitrahmens bestätigen

  • Das gemeldete Problem validieren und bewerten

  • Die Behebung nach Risiko und Auswirkung priorisieren

  • Auf eine zeitnahe Lösung hinarbeiten

  • Bei geeigneter Gelegenheit die öffentliche Offenlegung koordinieren

Die Zeitrahmen für die Behebung können je nach Komplexität, betrieblichen Überlegungen und Sicherheitsauswirkungen variieren.

Dispel unterstützt koordinierte Offenlegung von Schwachstellen. Wir bitten Forscher, von einer öffentlichen Offenlegung abzusehen, bis wir eine angemessene Gelegenheit hatten, das Problem zu untersuchen und zu beheben. Wenn angebracht, können wir die zeitliche Abstimmung und den Inhalt öffentlicher Mitteilungen koordinieren. In Situationen, in denen es Hinweise auf aktive Ausnutzung oder ein erhebliches Risiko gibt, kann Dispel Informationen in einer Weise offenlegen, die darauf abzielt, Kunden und betroffene Parteien zu schützen.

Dispel wird keine rechtlichen Schritte gegen Personen einleiten, die in gutem Glauben Schwachstellen identifizieren und melden, diese Richtlinie einhalten, Schäden vermeiden und uns eine angemessene Gelegenheit geben, das Problem zu beheben. Dieser Safe Harbor erstreckt sich nicht auf Handlungen, die geltendes Recht verletzen, die Privatsphäre beeinträchtigen, Dienstleistungen stören oder die Grenzen der hier beschriebenen autorisierten Tests überschreiten.

hashtag
Erwartungen an Forscher

Forscher müssen gutgläubig handeln und Handlungen vermeiden, die die Vertraulichkeit von Daten, die Integrität von Systemen, die Verfügbarkeit von Diensten oder die Sicherheit gefährden könnten. Tests sollten auf das beschränkt werden, was notwendig ist, um das Vorhandensein einer Schwachstelle nachzuweisen. Der Zugriff auf, die Änderung oder das Abfließen von Daten, die nicht Ihnen gehören, ist nicht autorisiert. Wenn Sie unbeabsichtigt auf sensible Informationen zugreifen, müssen Sie die Tests sofort einstellen und Dispel benachrichtigen, ohne die Daten zu behalten, zu kopieren oder offenzulegen.

Teilnehmer an diesem Programm müssen:

  • Gutgläubig handeln und Schaden vermeiden

  • Nur Systeme im Geltungsbereich testen

  • Vermeiden, auf Daten zuzugreifen, diese zu ändern oder zu behalten, die ihnen nicht gehören

  • Die Tests sofort einstellen, wenn unbeabsichtigt auf sensible Daten zugegriffen wird, und dies umgehend melden

  • Von einer öffentlichen Offenlegung absehen, bis Dispel eine angemessene Gelegenheit zur Untersuchung und Behebung hatte

hashtag
Safe Harbor

Dispel wird keine rechtlichen Schritte gegen Forscher verfolgen, die dieses Programm einhalten und Tests in gutem Glauben durchführen. Dieser Safe Harbor gilt nur für Aktivitäten, die mit dieser Richtlinie übereinstimmen, und erstreckt sich nicht auf rechtswidrige Handlungen, Verletzungen der Privatsphäre, Dienststörungen oder Tests außerhalb des definierten Umfangs.

hashtag
Anerkennung

Dispel betreibt kein öffentliches Bug-Bounty-Programm. Anerkennung für verantwortungsbewusste Offenlegungen kann nach unserem Ermessen gewährt werden.

Sicherheitsberichte sollten gerichtet werden an [email protected]envelope. Für allgemeine rechtliche Anfragen kontaktieren Sie bitte [email protected]envelope.

Wir schätzen die Bemühungen der Sicherheitsforschungsgemeinschaft und legen Wert auf verantwortungsvolle Zusammenarbeit zum Schutz der cyber-physischen Systeme und Umgebungen, auf die sich unsere Kunden verlassen.

VorherigeErklärung zum Modern Slavery ActNächsteExportkontrolle

Zuletzt aktualisiert