Responsibility

Wir bei riskine legen großen Wert auf die Sicherheit unserer Produkte, Dienstleistungen und Kunden. Wir sind gemäß ISO/IEC 27001 zertifiziert, dem weltweit bekanntesten Standard für Informationssicherheits-Managementsysteme (ISMS) und erfüllen die Norm in vollem Umfang. Das Zertifikat steht hier zum Download zur Verfügung.
Wir sind uns bewusst, dass die Entdeckung und verantwortungsvolle Meldung sowie der Umgang mit bekannten Sicherheitslücken eine wesentliche Rolle bei der Verbesserung der Sicherheit spielt. Solltest du eine Schwachstelle finden, melde diese bitte über unsere speziell eingerichtete E-Mail-Adresse: infosec#riskine.com.

Was sollte eine Meldung beinhalten?

  • Beschreibung: Bitte gib uns eine klare und nachvollziehbare Beschreibung, welche Sicherheitslücke du gefunden hast.
  • Reproduktionsschritte/Proof-of-Concept: Füge eine Schritt-für-Schritt-Anleitung bei, wie die Sicherheitslücke reproduziert werden kann.
  • Betroffene Versionen: Bitte ergänze die betroffene URL bzw. Softwareversion.
  • Auswirkungen: Beschreibe die potenzielle Auswirkung der Sicherheitslücke (aus deiner Perspektive).
  • Kontaktdaten: Bitte sag uns, wie wir dich für Rückfragen erreichen können.

Wie geht es weiter?

  1. Erstbewertung: Unser Sicherheitsteam wird deine Einmeldung prüfen und zeitnahe eine Rückmeldung dazu geben.
  2. Untersuchung & Behebung: Wir werden die Sicherheitslücke prüfen und die notwendigen Maßnahmen zur Behebung ergreifen.
  3. Abschluss: Wir halten dich über den Fortschritt der Untersuchung und der Behebung der Sicherheitslücke auf dem Laufenden. Nach Abschluss des Verfahrens und Behebung der Probleme informieren wir dich.

Verantwortungsvolle Offenlegung

Uns liegt die Sicherheit unserer Produkte und die sichere Verarbeitung von Kundendaten sehr am Herzen. Deine verantwortungsvolle Meldung von Sicherheitslücken trägt wesentlich dazu bei, dieses Ziel zu erreichen. Danke für dein Engagement und die Unterstützung.

Wir bitten dich, die Sicherheitslücke vertraulich zu behandeln und uns ausreichend Zeit zur Behebung zu geben, bevor Informationen öffentlich gemacht werden.

Wir verpflichten uns, innerhalb eines angemessenen Zeitrahmens auf deine Meldung zu reagieren und die Sicherheitslücke zu beheben.

Anerkennung & Danksagung

Wir erkennen den wertvollen Beitrag von Sicherheitsforschern und NutzerInnen an, die uns auf Sicherheitslücken aufmerksam machen. Auf Wunsch und nach Rücksprache erwähnen wir Namen in unseren Danksagungen oder geben eine offizielle Anerkennung. Bitte beachte, dass wir keine finanzielle Entschädigung oder Belohnung für die Meldung von Sicherheitslücken anbieten.

Rechtlicher Hinweis

Oben genannte Informationen dienen als Leitfaden für die verantwortungsvolle Meldung von Sicherheitslücken und stellen keine rechtliche Vereinbarung dar. Wir weisen explizit darauf hin, dass diese Richtlinie keine Erlaubnis oder Befugnis gibt, unsere Systeme zu hacken, zu testen oder auf andere Weise zu manipulieren. Wir behalten uns das Recht vor, geeignete Maßnahmen zum Schutz unserer Rechte, Netzwerke und Informationssysteme zu ergreifen.