Verantwortungsvolle Offenlegung

Die CCV Group nimmt die Sicherheit ihrer Systeme sehr ernst. Trotz unserer Bemühungen, die Sicherheit unserer Systeme zu stärken, lassen sich Schwachstellen niemals ganz ausschliessen.

Sollten Sie eine Schwachstelle in einem unserer Systeme entdeckt haben, bitten wir Sie, uns darüber zu informieren, damit wir so schnell wie möglich entsprechende Massnahmen ergreifen können. Es ist uns wichtig, mit Ihnen zusammenzuarbeiten, um unsere Kunden und unsere Systeme besser zu schützen.

Deshalb unsere Bitte an Sie:

  • Senden Sie uns Ihre Hinweise auf Fehler per E-Mail an security@ccv.eu. Verschlüsseln Sie Ihre Fehlerhinweise mit unserem PGP-Schlüssel, damit die Informationen nicht in die falschen Hände geraten;
  • Verschärfen Sie das Problem nicht dadurch, dass Sie mehr Daten herunterladen als nötig sind, um eine Lücke aufzudecken oder Daten Dritter zu prüfen, zu entfernen oder zu ändern;
  • Geben Sie keine Informationen über das Problem an Dritte weiter, bevor es gelöst ist, und löschen Sie alle vertraulichen Daten, die Sie aufgrund der Schwachstelle erhalten haben, unverzüglich nach Behebung des Problems;
  • Vermeiden Sie jede Art von Angriff auf unsere physische Sicherheit, Social Engineering, verteilten Überlastangriffen, Spams oder Nutzung von Anwendungen Dritter und
  • Stellen Sie uns ausreichend Informationen zur Reproduzierung des Problems zur Verfügung, damit wir es so schnell wie möglich beheben können. Normalerweise sind die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend, aber bei komplexeren Sicherheitsrisiken werden detailliertere Informationen benötigt.

Wir sichern Ihnen zu:

  • Innerhalb von drei Tagen erhalten Sie von uns eine Antwort auf Ihre Mitteilung mit Informationen zur Überprüfung Ihrer Fehlerhinweise und einem voraussichtlichen Lösungsdatum;
  • Wenn Sie die oben genannten Bedingungen erfüllen, werden wir keine juristischen Schritte im Zusammenhang mit der Mitteilung ergreifen;
  • Wir behandeln Ihre Meldung vertraulich und werden Ihre personenbezogenen Daten nicht ohne Ihr Einverständnis an Dritte weitergeben, es sei denn, dies ist aus rechtlichen Gründen erforderlich. Meldungen unter einem Pseudonym sind möglich;
  • Wir halten Sie über den Verlauf der Lösung des Problems auf dem Laufenden;
  • In unserem Bericht über das gemeldete Problem erwähnen wir Sie, falls Sie dies wünschen, als die Person, die das Problem aufgedeckt hat und
  • Als Dank für Ihre Hilfe bieten wir eine Belohnung für jede Meldung unbekannter Sicherheitsmängel an. Die Höhe der Belohnung hängt von der Schwere der Sicherheitslücke und der Art der Mitteilung ab, beträgt aber mindestens 50 €.

Wir sind bestrebt, alle Fragen so schnell wie möglich zu lösen und wären Ihnen sehr verbunden, in eventuelle spätere Veröffentlichungen über das Problem einbezogen zu werden.