Richtlinie zur Offenlegung von Sicherheitslücken

Bei Comitas nehmen wir Sicherheitslücken sehr ernst und setzen uns dafür ein, die Sicherheit und den Schutz der Daten unserer Nutzer jederzeit zu gewährleisten. Wir sind überzeugt, dass die Zusammenarbeit mit Sicherheitsforschern und der Community ein zentraler Bestandteil ist, um potenzielle Schwachstellen frühzeitig zu erkennen und verantwortungsvoll zu beheben. Diese Richtlinie beschreibt unseren Ansatz zur Entgegennahme, Bewertung und Behandlung von Meldungen zu Sicherheitslücken.

Meldung einer Sicherheitslücke

Wenn Sie eine potenzielle Sicherheitslücke in einem unserer Systeme, Produkte oder Services entdeckt haben, bitten wir Sie, diese verantwortungsvoll an uns zu melden. Bitte beachten Sie dabei folgende Richtlinien:

  1. Kontaktaufnahme:
    Bitte informieren Sie uns über die Sicherheitslücke per E-Mail anit+security@comitas.com. Verzichten Sie darauf, Details öffentlich zu machen, bis wir ausreichend Zeit hatten, die Schwachstelle zu prüfen und zu beheben.
  2. Notwendige Angaben:
    Beschreiben Sie die Sicherheitslücke klar und verständlich. Falls vorhanden, fügen Sie Schritte zur Reproduktion oder einen Proof of Concept (PoC) bei, um uns das Nachvollziehen zu erleichtern.
  3. Ihre Kontaktdaten:
    Geben Sie Ihren Namen oder ein Pseudonym, eine Kontaktmöglichkeit (z. B. E-Mail-Adresse) sowie einen allfälligen Wunsch zur Nennung oder Anerkennung an.
  4. Verantwortungsvolle Offenlegung:
    Bitte gewähren Sie uns eine angemessene Frist zur Analyse und Behebung der Sicherheitslücke, bevor Informationen öffentlich oder mit Dritten geteilt werden.


Richtlinien für Sicherheitsforscher

  1. Handeln nach Treu und Glauben: Praktizieren Sie verantwortungsvolle Offenlegung und respektieren Sie die Sicherheit und Privatsphäre unserer Nutzer.
  2. Rechtliche Konformität: Unterlassen Sie Aktivitäten, die gegen geltende Gesetze oder Vorschriften verstossen.
  3. Geltungsbereich: Konzentrieren Sie sich auf die in dieser Richtlinie definierten Systeme, Produkte oder Services. Führen Sie keine destruktiven Tests durch und vermeiden Sie Schäden an Infrastruktur, Daten oder Nutzern.
  4. Nicht-invasive Tests: Greifen Sie nicht unnötig auf Nutzerdaten zu und verändern oder löschen Sie keine Daten, ausser dies ist zwingend erforderlich, um die Schwachstelle zu demonstrieren.
  5. Vertraulichkeit: Behandeln Sie alle im Rahmen Ihrer Recherche gewonnenen Informationen vertraulich und teilen Sie diese ausschliesslich mit Comitas zum Zweck der Sicherheitsmeldung.ir schätzen den Beitrag von Sicherheitsforschern und begegnen allen Beteiligten professionell und respektvoll.

Um eine konstruktive und vertrauensvolle Zusammenarbeit zu gewährleisten, bitten wir Sicherheitsforscher, folgende Grundsätze einzuhalten:


Unser Engagement

Nach Eingang einer Meldung verpflichten wir uns zu folgendem Vorgehen:

  1. Bestätigung: Wir bestätigen den Eingang Ihrer Meldung innerhalb von zwei Arbeitstagen und geben eine erste Einschätzung ab.
  2. Untersuchung: Unser Sicherheitsteam untersucht die gemeldete Schwachstelle zeitnah und mit angemessenem Aufwand.
  3. Kommunikation: Wir halten Sie während des gesamten Prozesses über Fortschritte und getroffene Massnahmen auf dem Laufenden.
  4. Behebung und Anerkennung: Wir setzen alles daran, die Schwachstelle zu beheben und würdigen – falls gewünscht – Ihre verantwortungsvolle Offenlegung in unseren öffentlichen Danksagungen.
  5. Respektvolle Zusammenarbeit: Wir schätzen den Beitrag von Sicherheitsforschern und begegnen allen Beteiligten professionell und respektvoll.


Rechtliche Hinweise

Comitas verpflichtet sich, keine rechtlichen Schritte gegen Sicherheitsforscher einzuleiten, die Sicherheitslücken gemäss dieser Richtlinie entdecken und melden. Voraussetzung ist die Einhaltung der oben genannten Grundsätze.


Haftungsausschluss

Diese Richtlinie stellt keine Genehmigung oder Erlaubnis dar, Handlungen vorzunehmen, die gegen geltende Gesetze oder Vorschriften verstossen.