MELDUNG EINER usd SCHWACHSTELLE ODER EINES BUGS


Wir setzen alles daran, die Sicherheit unserer eigenen Webpräsenzen, Plattformen und eingesetzten IT-Infrastrukturkomponenten zu gewährleisten. Dennoch kann es vorkommen, dass Sie eine Schwachstelle oder einen Bug in unseren Systemen entdecken. In diesem Fall bitten wir Sie, verantwortungsvoll mit der Schwachstelle umzugehen und diese zwecks Korrektur zu melden. Dafür haben wir nachfolgend einen dedizierten Prozess implementiert.

DISCLOSURE GUIDELINE

Wir streben die Behebung gemeldeter Schwachstellen oder Bugs innerhalb von 60 Tagen an. Besteht die Schwachstelle in einer Komponente eines Drittanbieters, werden wir die Verantwortlichen kontaktieren, um eine Behebung derselbigen zu veranlassen. Für die Meldung von Schwachstellen und Bugs gelten folgende Regeln:

  • Wir zahlen keine Prämien für gemeldete Schwachstellen aus.
  • Schwachstellen dürfen nur in Abstimmung mit der usd AG veröffentlicht werden.
  • Verstoßen Sie nicht gegen geltendes Recht und beschädigen oder kompromittieren Sie keine Daten der usd und/oder ihrer Kunden und nutzen Sie keine bestätigten Schwachstellen aus.
  • Geben Sie in Schwachstellenberichten, einschließlich aller Anhänge, keine Informationen an, die eine Einzelperson identifizieren könnten (z.B. Name, Kontaktdaten).
  • Zwecks schnellstmöglicher Bearbeitung von Schwachstellenmeldungen stellen Sie bitte sicher, dass Sie die Schritte detailliert erläutern, die zum Nachvollziehen der Schwachstelle erforderlich sind.

LEGAL & CONDITIONS

Indem Sie Schwachstellen und/oder Lösungsvorschläge (nachfolgend als „Feedback“ bezeichnet) bei usd AG einreichen

  • verpflichten Sie sich jeglichen Schaden bei der usd AG und/oder ihren Kunden zu vermeiden, und stimmen daher zu, keine Informationen zu veröffentlichen, bevor ein Fix und/oder Patch von usd zur Verfügung gestellt wurde; und
  • erklären Sie sich damit einverstanden, dass die usd AG dieses Feedback zur Aktualisierung und/oder Verbesserung ihrer Webpräsenzen, Plattformen und eingesetzten IT-Infrastrukturkomponenten verwenden darf; und
  • gewähren Sie der usd AG, Ihr Feedback für jeden Zweck ohne Einschränkung oder Vergütung jeglicher Art in Bezug auf Sie und/oder Ihre Vertreter zu verwenden.

HABEN SIE EINE SCHWACHSTELLE ODER EINEN BUG ENTDECKT?

Informieren Sie uns bitte gemäß der oben genannten Richtlinien. Bitte nutzen Sie unser Meldeformular oder wenden sich direkt an incident-response-team@usd.de. Für eine verschlüsselte Kommunikation via E-Mail können wir Ihnen S/MIME oder PGP anbieten. Für den Datenaustausch per Mail benötigen wir das öffentliche Zertifikat von Ihnen.