Richtlinie zur Offenlegung von Sicherheitslücken
Datenschutz-Übersicht
Diese Richtlinie ist für alle potenziellen Schwachstellen relevant, die Sie Active Healthcare Solutions Ltd, das unter dem Namen Relish (im Folgenden „Unternehmen“ genannt) firmiert, melden möchten. Diese Richtlinie ist anwendbar, sofern die Website des Unternehmens über eine Datei security.txt verfügt, die auf diese Richtlinie verweist. Wenn Sie glauben, eine Sicherheitslücke im System des Unternehmens entdeckt zu haben, bitten wir Sie, einen Bericht über die Schwachstelle an die Adresse zu senden, die im Feld KONTAKT der Datei security.txt angegeben ist.
Ihr Bericht sollte Folgendes enthalten:
Die Website, Seite oder ein anderer relevanter Ort, an dem die Sicherheitslücke vorhanden ist.
– Eine kurze Beschreibung des Schwachstellentyps.
- Schritte zur Reproduktion der Sicherheitslücke. Dadurch wird sichergestellt, dass der Bericht schnell und präzise bearbeitet werden kann, und es wird auch die Wahrscheinlichkeit doppelter Berichte oder der böswilligen Ausnutzung bestimmter Sicherheitslücken minimiert.
Nach dem Absenden Ihres Berichts versuchen wir, innerhalb von 7 Werktagen zu antworten und das gemeldete Problem innerhalb von 30 Werktagen zu lösen. Wir benachrichtigen Sie, wenn die gemeldete Sicherheitslücke behoben wurde, und Sie werden möglicherweise gebeten, zu bestätigen, dass die Lösung die Sicherheitslücke angemessen behebt.
Wir schätzen die Bemühungen derjenigen, die Sicherheitslücken verantwortungsbewusst und gemäß dieser Richtlinie melden. Für derartige Meldungen bieten wir jedoch keine finanzielle Belohnung an.
Sie dürfen NICHT:
- Verstoßen Sie gegen geltende Gesetze und Vorschriften.
- Auf Daten zugreifen, die unnötig, übermäßig oder wichtig sind.
- Daten in den Systemen oder Diensten des Unternehmens ändern.
– Verwenden Sie invasive oder destruktive Scan-Tools mit hoher Intensität, um Schwachstellen zu identifizieren.
- Jegliche Form der Dienstverweigerung zu versuchen oder zu melden, wie etwa die Überlastung eines Dienstes durch eine große Anzahl von Anfragen.
- Die Dienste oder Systeme des Unternehmens stören.
- Senden Sie Berichte mit Einzelheiten zu nicht ausnutzbaren Schwachstellen oder Berichte, die darauf hinweisen, dass die Dienste nicht vollständig den „Best Practices“ entsprechen, z. B. fehlende Sicherheitsheader.
- Teilen Sie Schwachstellen oder zugehörige Details nicht auf andere Weise mit, als in der Datei security.txt angegeben.
- Social Engineering, Phishing oder physische Angriffe auf das Personal oder die Infrastruktur des Unternehmens durchführen.
Sie müssen:
- Halten Sie sich stets an die Datenschutzbestimmungen und verletzen Sie nicht die Vertraulichkeit der Daten, die das Unternehmen besitzt. Sie dürfen beispielsweise die von den Systemen oder Diensten abgerufenen Daten nicht weitergeben, weitergeben oder nicht ordnungsgemäß sichern.
- Löschen Sie alle im Rahmen Ihrer Recherche abgerufenen Daten auf sichere Weise, sobald sie nicht mehr benötigt werden oder innerhalb eines Monats nach Beseitigung der Sicherheitslücke (je nachdem, was zuerst eintritt) (oder wie dies anderweitig durch das Datenschutzgesetz vorgeschrieben ist).
Rechtliche Aspekte Diese Richtlinie ist so konzipiert, dass sie mit gängigen bewährten Verfahren zur Offenlegung von Schwachstellen kompatibel ist. Sie berechtigt Sie nicht zu Handlungen, die gegen das Gesetz verstoßen oder dazu führen könnten, dass das Unternehmen oder seine Partnerorganisationen gegen gesetzliche Verpflichtungen verstoßen.