Richtlinie zur Offenlegung von Schwachstellen

Einleitung

Diese Richtlinie zur Offenlegung von Schwachstellen gilt für alle Schwachstellen, die Sie uns (dem "Unternehmen") melden möchten. Wir empfehlen, diese Richtlinie zur Offenlegung von Schwachstellen vollständig zu lesen, bevor Sie eine Schwachstelle melden, und stets in Übereinstimmung mit dieser zu handeln.

Wir schätzen diejenigen, die sich die Zeit und Mühe nehmen, Sicherheitslücken gemäß dieser Richtlinie zu melden. Wir bieten jedoch keine monetären Belohnungen für die Offenlegung von Schwachstellen an.

Berichtend

Wenn Sie glauben, eine Sicherheitslücke in Produkten oder Dienstleistungen von Puredrive Energy (einschließlich unserer Markenprodukte, die unter Lizenz hergestellt wurden) gefunden zu haben, senden Sie uns bitte Ihre Meldung hier .

CTO – Puredrive Energy Ltd, Einheit 18a & 18b, Orchard Industrial Estate, Evesham Road, Toddington, Cheltenham, GL54 5EB

Bitte geben Sie in Ihrem Bericht folgende Punkte an:

  • Die Website, IP, Seite oder Anwendung, auf der die Schwachstelle beobachtet werden kann.
  • A brief description of the type of vulnerability, for example; “XSS vulnerability”.
  • Schritte zum Reproduzieren. Dabei sollte es sich um einen gutartigen, nicht destruktiven Proof of Concept handeln. Dies trägt dazu bei, dass der Bericht schnell und genau selektiert werden kann. Es verringert auch die Wahrscheinlichkeit von doppelten Berichten oder der böswilligen Ausnutzung einiger Schwachstellen, wie z. B. der Übernahme von Subdomains.

Was Sie von uns erwarten können

  • Nachdem Sie Ihre Meldung eingereicht haben, werden wir innerhalb von 5 Werktagen auf Ihre Meldung antworten und uns bemühen, Ihre Meldung innerhalb von 10 Werktagen zu sichten. Wir werden uns auch bemühen, Sie über unsere Fortschritte auf dem Laufenden zu halten.
  • Die Priorität für die Behebung wird anhand der Auswirkungen, des Schweregrads und der Komplexität des Exploits bewertet. Die Sichtung oder Bearbeitung von Schwachstellenberichten kann einige Zeit in Anspruch nehmen. Sie können sich gerne nach dem Status erkundigen, sollten dies jedoch nicht mehr als einmal alle 14 Tage tun. Dies ermöglicht es unserem Team, sich auf die Behebung zu konzentrieren.
  • Wir werden Sie benachrichtigen, wenn die gemeldete Schwachstelle behoben ist, und Sie werden möglicherweise aufgefordert, zu bestätigen, dass die Lösung die Schwachstelle angemessen abdeckt.
  • Sobald die gemeldete Schwachstelle behoben wurde, freuen wir uns über Anfragen zur Offenlegung Ihrer Meldung. Wir werden die Anleitung für betroffene Benutzer vereinheitlichen, also stimmen Sie sich bitte weiterhin mit uns ab.

Sie dürfen NICHT:

  • Gegen geltende Gesetze oder Vorschriften verstoßen.
  • Greifen Sie auf unnötige, übermäßige oder signifikante Datenmengen zu
  • Ändern Sie Daten in den Systemen oder Diensten der Organisation.
  • Verwenden Sie hochintensive invasive oder destruktive Scan-Tools, um Schwachstellen zu finden.
  • Versuchen oder melden Sie irgendeine Form von Denial-of-Service, z. B. die Überlastung eines Diensts mit einer hohen Anzahl von Anforderungen.
  • Unterbrechung der Dienste oder Systeme der Organisation.
  • Reichen Sie Berichte ein, in denen nicht ausnutzbare Schwachstellen aufgeführt sind, oder Berichte, die darauf hinweisen, dass die Dienste nicht vollständig mit den "Best Practices" übereinstimmen, z. B. fehlende Sicherheitsheader.
  • Reichen Sie Berichte ein, in denen Schwachstellen bei der TLS-Konfiguration aufgeführt sind, z. B. die Unterstützung der "schwachen" Cipher Suite oder das Vorhandensein von TLS1.0-Unterstützung.
  • Kommunizieren Sie Schwachstellen oder damit verbundene Details auf andere Weise als in dieser Richtlinie und gegebenenfalls in den veröffentlichten security.txt beschrieben.
  • Social engineer, ‘phish’ or physically attack the Organisation’s staff or infrastructure
  • Fordern Sie eine finanzielle Entschädigung, um etwaige Schwachstellen offenzulegen.

Du musst:

  • Halten Sie sich stets an die Datenschutzbestimmungen und dürfen die Privatsphäre der Benutzer, Mitarbeiter, Auftragnehmer, Dienste oder Systeme der Organisation nicht verletzen. Sie dürfen z. B. Daten, die von den Systemen oder Diensten abgerufen werden, nicht freigeben, weiterverteilen oder nicht ordnungsgemäß sichern.
  • Löschen Sie alle Daten, die Sie während Ihrer Recherche abgerufen haben, sicher, sobald sie nicht mehr benötigt werden oder innerhalb von 14 Tagen nach Behebung der Schwachstelle, je nachdem, was zuerst eintritt (oder wie anderweitig datenschutzrechtlich vorgeschrieben).

Rechtsvorschriften und bewährte Verfahren

  • Diese Richtlinie ist so konzipiert, dass sie mit den allgemeinen bewährten Methoden für die Offenlegung von Sicherheitslücken kompatibel ist. Es gibt Ihnen nicht die Erlaubnis, in einer Weise zu handeln, die mit dem Gesetz unvereinbar ist oder die dazu führen könnte, dass das Unternehmen oder verbundene Organisationen gegen gesetzliche Verpflichtungen verstoßen.
  • Wenn jedoch ein Dritter rechtliche Schritte gegen Sie einleitet und Sie diese Richtlinie eingehalten haben, können wir Maßnahmen ergreifen, um Ihnen mitzuteilen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden.

Wir danken Ihnen für Ihre Unterstützung, um unsere Produkte und Dienstleistungen sicher und geschützt zu halten.

V1.1 Veröffentlicht 2025