Zum Hauptinhalt springen

Richtlinie zur Offenlegung von Schwachstellen

VaultPAM nimmt die Sicherheit seiner Plattform ernst. Diese Richtlinie beschreibt, wie Sie Sicherheitsschwachstellen melden und was Sie während des Offenlegungsprozesses von uns erwarten können.

So melden Sie eine Schwachstelle

  • Schreiben Sie eine E-Mail an security@vaultpam.com mit einer Beschreibung des Problems, Schritten zur Reproduktion und einer Bewertung der Auswirkungen.
  • Fordern Sie bei sensiblen Meldungen vor dem Versand von Details unseren PGP-Schlüssel über dieselbe Adresse an.
  • Legen Sie die Schwachstelle nicht öffentlich offen, bevor wir bestätigt haben, dass eine Behebung vorhanden ist.

Safe Harbour

Die Safe-Harbour-Richtlinie folgt in Kürze — wenden Sie sich an security@vaultpam.com für Details, die noch einer rechtlichen Prüfung unterliegen.

Was Sie von uns erwarten können

  • Bestätigung innerhalb von 5 Werktagen.
  • Statusaktualisierungen alle 10 Werktage, solange das Problem untersucht wird.
  • Nennung in den Versionshinweisen (falls gewünscht), sobald die Behebung ausgeliefert wird.

Koordinierte Offenlegung

  • Wir folgen einem Zeitplan für die koordinierte Offenlegung von 90 Tagen.
  • Wir stimmen das Offenlegungsdatum gemeinsam mit Ihnen ab, falls die Behebung länger dauert.
  • Kritische Schwachstellen mit aktiver Ausnutzung können nach Benachrichtigung der Kunden früher offengelegt werden.

Nicht im Geltungsbereich

Die folgenden Punkte liegen außerhalb des Geltungsbereichs dieser Richtlinie:

  • Denial-of-Service-Angriffe
  • Social Engineering gegen VaultPAM-Mitarbeiter
  • Probleme in Diensten Dritter, die nicht unserer Kontrolle unterliegen
  • Befunde automatisierter Scanner ohne nachgewiesene Auswirkung