Responsible Disclosure

Richtlinien für eine verantwortungsvolle Offenlegung

Die Sicherheit unserer Systeme und Produkte ist uns ein großes Anliegen und hat höchste Priorität. Trotz aller Bemühungen, die wir in unsere Technologien investieren, kann es trotzdem zu Schwachstellen kommen. Sollten Sie Schwachstellen entdecken, würden wir uns über eine Benachrichtigung freuen.

Spielregeln

Teilen Sie Informationen über das Sicherheitsproblem nicht mit Dritten, bis das Problem gelöst ist.
Teilen Sie mit, wie und wann die Schwachstelle oder Störung auftritt.
Beschreiben Sie deutlich, wie dieses Problem reproduziert werden kann, und liefern Sie Informationen über das verwendete Verfahren und den Zeitpunkt der Untersuchung.

Gehen Sie mit Ihrem Wissen über das Sicherheitsproblem verantwortungsbewusst um. Nehmen Sie keinerlei Handlungen vor, die darüber hinausgehen, was notwendig ist, um das Sicherheitsproblem kenntlich zu machen. Nutzen Sie die Schwachstelle nicht bösartig aus und speichern Sie keine vertraulichen Daten, die aufgrund der Schwachstelle im System erlangt wurden.

Hinterlassen Sie bei Bedarf Kontaktdaten (E-Mail-Adresse oder Telefonnummer), damit wir zur Beurteilung und zum Fortschritt bei der Beseitigung der Schwachstelle Kontakt zu Ihnen aufnehmen können. Wir nehmen auch anonyme Meldungen ernst.

Unsere Richtlinien zur verantwortungsvollen Offenlegung stellen keine Aufforderung dar, unser Firmennetzwerk umfassend aktiv auf Schwachstellen zu überprüfen. Wir überwachen unsere Netzwerke selbst.

Eine Veröffentlichung des Problems darf, wenn dann nur in Absprache mit der Unternehmensgruppe erfolgen.

Außerhalb des Geltungsbereichs der Richtlinie

Die im Folgenden genannten Sicherheitslücken sind nicht gemäß der Richtlinie zur verantwortungsvollen Offenlegung einzureichen. Sicherheitslücken außerhalb des Geltungsbereichs der Richtlinie sind:

  • Physische Angriffe gegen Rechenzentren oder Eigentum der Unternehmensgruppe
  • Social Engineering Angriffe die auf Mitarbeiter oder Kunden abzielen (zum Beispiel: das Fälschen von Anmeldeseiten, Kundenservice, Social Media)
  • Verbreitung von Spam
  • Denial of Service Angriffe
  • Fehlende HTTP Security Header ohne spezifische Auswirkungen
  • Fehler die nur durch Clickjacking ausnutzbar sind
  • Self-XSS
  • Schwachstellen die eine unwahrscheinliche Benutzerinteraktion erfordern (zum Beispiel: Deaktivierung von Browserschutzmaßnahmen)
  • Offenlegung von Informationen die als öffentlich markiert sind
  • Angriffe die einen Man-in-the-Middle erfordern

Was Sie von uns erwarten können

Wenn Sie sich entscheiden, Ihre Kontaktinformationen mit uns zu teilen, verpflichten wir uns, so offen und so schnell wie möglich diese Informationen mit Ihnen abzustimmen.

Wir garantieren eine Rückmeldung innerhalb von 5 Werktagen.

Wir sind bestrebt, Sie auch in der Zwischenzeit über den Fortschritt bei der Lösung des Problems zu informieren.

Wir behandeln Ihre Meldung vertraulich und teilen Ihre personenbezogenen Informationen nicht ohne Ihre Zustimmung mit Dritten, es sei denn, dies ist gesetzlich oder aufgrund eines Gerichtsurteils vorgeschrieben.

Wir werden gemeinsam mit Ihnen entscheiden, ob und wie über das gemeldete Problem berichtet wird.

Offenlegung von Sicherheitslücken

Zur Offenlegung einer möglichen Sicherheitslücke senden Sie die Informationen bitte an folgende Adresse:

disclosure@cal.at

Wir danken Ihnen für Ihre Unterstützung unsere Services und Daten bestmöglich zu schützen.