Übersicht
Sicherheit hat bei Edovia höchste Priorität. Wir freuen uns über verantwortungsvolle Meldungen von Sicherheitslücken durch Sicherheitsforscher und die Öffentlichkeit. Sollten Sie Sicherheitsprobleme, Datenschutzbedenken oder offengelegte Daten in unseren Produkten oder Dienstleistungen entdeckt haben, teilen Sie uns diese bitte mit. Dieses Dokument beschreibt, wie Sie Sicherheitsprobleme melden können und welche Verpflichtungen und Erwartungen wir haben.
Geltungsbereich
Diese Richtlinie gilt für:
– Edovia-Software und -Produkte – Von Edovia betriebene Dienste und Infrastruktur – Dokumentation zu unseren Produkten
Ausschlüsse
Folgende Arten von Meldungen fallen nicht unter den Geltungsbereich dieser Richtlinie:
– Physische Sicherheitsbedenken (z. B. Bürozugang, unbefugter Zutritt) – Social-Engineering-Angriffe (z. B. Phishing, Identitätsbetrug) – Probleme in Systemen, die nicht explizit im Geltungsbereich aufgeführt sind – Kosmetische Probleme (z. B. UI/UX-Fehler ohne Sicherheitsauswirkungen) – Tippfehler – Denial-of-Service-Schwachstellen (DoS/DDoS) – Dienste von Drittanbietern, die nicht von Edovia verwaltet werden
Wenn Sie ein Problem in einem System außerhalb des Geltungsbereichs feststellen, melden Sie es bitte dem entsprechenden Anbieter oder der entsprechenden Organisation.
Was Sie von uns erwarten können
Wenn Sie in gutem Glauben ein berechtigtes Sicherheitsproblem melden, werden wir:
– Ihre Meldung bestätigen und so schnell wie möglich mit der Bewertung beginnen. – Sie während der Prüfung über den Status Ihrer Meldung auf dem Laufenden halten. – Sicherheitslücken je nach Schweregrad und Auswirkung schließen. – Safe-Harbor-Schutz bieten, wenn die Offenlegung den Richtlinien dieser Richtlinie entspricht.
Richtlinien zur verantwortungsvollen Offenlegung
Um einen verantwortungsvollen und effektiven Offenlegungsprozess zu gewährleisten, bitten wir Sie:
– Diese Richtlinie und alle geltenden Bestimmungen bei der Untersuchung von Sicherheitsbedenken einzuhalten. – Ergebnisse umgehend melden und Maßnahmen vermeiden, die Dienste oder Nutzer beeinträchtigen könnten. – Tests auf das zum Nachweis eines Problems erforderliche Maß beschränken. – Sicherheitsbedenken über offizielle Kanäle kommunizieren. – Uns ausreichend Zeit geben, das Problem vor der öffentlichen Bekanntgabe zu beheben. – Nur Systeme im Rahmen des Geltungsbereichs testen und ausdrücklich ausgeschlossene Ziele vermeiden. – Testkonten verwenden, deren Eigentümer Sie sind oder für deren Nutzung Sie eine ausdrückliche Erlaubnis haben. – Von Handlungen absehen, die als Erpressung oder Schadensersatzforderung ausgelegt werden könnten.
Meldung von Sicherheitsproblemen
Um ein Sicherheitsbedenken zu melden, verwenden Sie bitte die folgenden offiziellen Kanal:
https://edovia.com/.well-known/security.txt
Je mehr Details Sie angeben, desto schneller können wir das Problem bewerten und beheben.
Safe Harbor
Wenn Sie Sicherheitsforschung in gutem Glauben und im Einklang mit dieser Richtlinie durchführen, werden wir:
– Ihre Forschung als nach den geltenden Anti-Hacking-Gesetzen autorisiert betrachten. – Keine rechtlichen Schritte wegen unbeabsichtigter Richtlinienverstöße einleiten. – Keine Gesetze zur Umgehung von Umgehungen gegen Ihre Tests durchsetzen. – Ihre Ergebnisse als Bemühen zur Verbesserung der Sicherheit und nicht als Verstoß gegen unsere Bedingungen betrachten.
Sollte ein Dritter aufgrund von Forschung, die dieser Richtlinie entspricht, rechtliche Schritte gegen Sie einleiten, teilen wir Ihnen mit, dass Sie bei Ihrem Vorgehen den Grundsätzen der verantwortungsvollen Offenlegung gefolgt sind.
Wenn Sie sich nicht sicher sind, ob Ihre Tests dieser Richtlinie entsprechen, kontaktieren Sie uns bitte, bevor Sie fortfahren.
Hinweis: Safe Harbor gilt nur für Rechtsansprüche unter der Kontrolle von Edovia und erstreckt sich nicht auf unabhängige Dritte.
Prämienprogramm
Bitte beachten Sie, dass Edovia nicht an einem Bug-Bounty- oder Belohnungsprogramm teilnimmt. Wir schätzen verantwortungsvolle Meldungen von Sicherheitslücken, bieten jedoch derzeit keine finanzielle Vergütung oder andere Anreize.