Vulnerability Disclosure Policy

Statement

ondeso stellt verschiedene Produkte her, die Ihnen Verlässlichkeit und Qualität bieten. Trotz größter Sorgfalt und ausgiebiger Tests bei der Erstellung der ondeso Produkte, können diese dennoch Schwachstellen enthalten. Da wir höchsten Wert auf die Sicherheit unserer Produkte in Produktionsumgebungen unserer Kunden und Partner legen, stehen wir für einen offene Austausch und eine vertrauensvolle Kommunikation sowie die möglichst zeitnahe Risikominimierung.

Policy

Sollten Sie eine Schwachstelle in ondeso Produkten gefunden haben, bitten wir Sie uns darüber zu informieren, sodass wir diese prüfen, beurteilen und möglichst zeitnah eine Lösung anbieten können. Eine Mitteilung über die Schwachstelle sollte im Rahmen des “Responsible Disclosure” auf sicherem Wege wie hier dargestellt direkt an ondeso erfolgen.

Richtlinien

Im Mittelpunkt sollte das Finden von Schwachstellen stehen, ohne dabei die Kundendaten, Privatsphäre und Service Verfügbarkeit zu beeinträchtigen.

• Sollten Sie im Rahmen der Untersuchungen produktive Systeme untersuchen bitten wir Sie diese bestmöglich vor Beeinträchtigungen zu schützen und Ausfälle der Services zu vermeiden sowie die Privatsphäre zu schützen und keine Daten irreversibel zu verändern oder gar zu zerstören.
• Sollten Sie während der Untersuchung an einen Punkt gelangen, an dem die genannten Punkte nicht mehr sichergestellt werden können, bitten wir Sie dort zu stoppen und uns umgehend zu kontaktieren, sodass wir uns unverzüglich darum kümmern können und so unsere Kunden, Partner, Sie und uns zu schützen.

Geben Sie uns bei gefundenen Schwachstellen bitte die Möglichkeit diese im Rahmen des „Responsible Disclosure“ Prozesses zu beheben, sodass möglichen Schäden, die sich auch der Schwachstelle ergeben könnten, vorgebeugt werden kann. Wir bearbeiten jede qualifizierte Meldung mit der notwendigen Sorgfalt und bemühen uns um eine möglichst zeitnahe Rückmeldung.

Vorgehen zur Meldung von Schwachstellen

1. Informieren Sie sich über den Geltungsbereich für Schwachstellenmeldungen

2. Senden Sie eine verschlüsselte E-Mail an folgende Adresse: Vulnerability@ondeso.com unter Verwendung des öffentlichen PGP-Schlüssels (Fingerprint: 0159 6A97 2113 C416 1942 6719 DCF8 AB3E 9D9C BA2C)

Inhaltsvorlage für Ihre Meldung:

Produktname*
Produktversion*
Anleitung zur Reproduktion des Problems*
Weitere relevante Informationen
Kontaktdaten (Optional)
Name
E-Mail-Adresse

Die mit * markierten Felder sind Pflichtfelder.

3. Geben Sie die Information nicht an Dritte weiter!

Zusagen für Schwachstellenmeldungen

Wir versuchen die Schwachstellen möglichst zeitnah zu beheben oder geeignete Maßnahmen zur Risikominimierung zur Verfügung stellen. Sie erhalten von uns eine Rückmeldung bzgl. der Validität der gemeldeten Schwachstelle sowie des geplanten, weiteren Vorgehens.

Grundsätzlich behandeln wir Ihren Bericht vertraulich und geben Ihre Daten nicht an Dritte weiter.

Qualifizierte Meldung

Jedes Problem des Designs, der Implementierung oder des Einsatzes, dass die Sicherheit der ondeso Produkte betrifft, kann gemeldet werden.

Geltungsbereich

Gilt für alle ondeso Produkte.

Nicht qualifizierte Schwachstellen

Folgende Schwachstellen fallen nicht in den Geltungsbereich der Vulnerability Disclosure Policy:

• Allgemeine Schwachstellen von (IT-)Systemen und deren Betriebssystem
• Allgemeine Fehler in öffentlich bereits als unsicher bekannten Bibliotheken / Cipher-Suites / Algorithmen / Protokollen usw.
• Meldungen ohne explizite Erklärung der Anwendbarkeit
• Social Engineering, Phishing usw. gegen ondeso Mitarbeiter oder ondeso Kunden / Partner
• (Distributed) Denial of Service Angriffe auf ondeso IT-Systeme oder ondeso Kunden / Partner