Verantwortliche Offenlegung

Tesorion findet, dass die Sicherheit von unseren Systemen und Produkten sehr wichtig ist. Trotz unserer Sorgfalt für Sicherheit kann es einmal passieren, dass es ein Leck geben wird.

Sollten Sie ein Sicherheitsleck in einem unserer Systeme oder Produkte gefunden haben, erfahren wir dies gerne, sodass wir schnellstmöglich Maßnahmen treffen können. Wir arbeiten gerne mit Ihnen eng zusammen, um unsere Kunden und unsere Systeme noch besser zu schützen.

Wir fragen Sie:

  • Senden Sie uns bitte Ihre Wahrnehmungen an abuse@tesorion.nl. Verschlüsseln Sie Ihre Wahrnehmungen mit unserem PGP Key (Key Fingerprint = A5D6 68C8 C98C 3F00 C32F 98D8 2461 DAFB 4F3D A578) um zu verhindern, dass Informationen in die falschen Hände geraten könnten.
  • Das Problem nicht zu missbrauchen, um zum Beispiel mehr Daten zu downloaden als notwendig sind, um das Leck anzugeben oder Daten von Dritten anzusehen, zu entfernen oder anzupassen.
  • Das Problem nicht mit anderen zu teilen, bis es gelöst worden ist und alle vertraulichen Daten, welche mittels des Lecks direkt erhalten worden sind, gleich nach der Behebung des Lecks zu löschen.
  • Keine Angriffe anzuwenden, welche sich auf physischem Schutz, Social Engineering, Distributed Denial oder Service, Spam oder Applikationen von Dritten beziehen.
  • Genügend Informationen zu übermitteln, um das Problem wiederherzustellen, sodass es schnellstmöglich gelöst werden kann. Meistens genügen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Verwundbarkeit. Bei komplexeren Verwundbarkeiten sollte eine genauere Beschreibung geschildert werden.

Was wir gewährleisten:

  • Wir reagieren innerhalb von drei Werktagen auf Ihre Meldung mit unserer Beurteilung der Meldung und eines zu erwartenden Datums für eine Lösung.
  • Wenn Sie sich an oben erwähnte Bedingungen gehalten haben, sollten wir bezüglich der Meldung keine juristischen Maßnahmen gegen Sie unternehmen.
  • Wir behandeln Ihre Meldung vertraulich und werden Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung mit Drittparteien teilen – es sei denn es ist notwendig, um einer gesetzlichen Auflage nachzukommen.
  • Wir informieren Sie über den Fortgang der Problemlösung.
  • Bei einer Berichterstattung über das gemeldete Problem werden wir, insofern es von Ihnen gewünscht ist, Ihren Namen als Entdecker vermelden.
  • Als Dank für Ihre Hilfe bieten wir Ihnen eine Belohnung für jedes uns noch nicht bekanntes Sicherheitsproblem an. Den Umfang der Belohnung entscheiden wir an der Hand der Seriosität des Lecks und der Qualität der Meldung, ausgehend von einem Minimum eines Wertschecks von 50,- Euro.

Wir streben danach, um alle Probleme schnellstmöglich zu lösen und werden gerne bei einer eventuellen Publikation nach Lösung des Problems einbezogen.

Mit Dank an Floor Terra für die Vorlage unter Creative Commons Naamsvermelding 3.0-lizenz.