Diese Richtlinie enthält klare Leitlinien für den Prozess der Zusammenarbeit zwischen Socomec und anderen natürlichen oder juristischen Personen, einschließlich Sicherheitsforschern, die eine in den Produkten von Socomec gefundene Schwachstelle melden.

Diese Richtlinie beschreibt den Kommunikationskanal, der für die Meldung von Schwachstellen zur Verfügung steht, unser Verfahren für die Bearbeitung der eingegangenen Meldungen (einschließlich unserer Bearbeitungszeiten, in denen der Forscher gebeten wird, die Schwachstelle nicht an Dritte weiterzugeben) und alle Phasen der Zusammenarbeit vom ersten Kontakt bis zur Bereitstellung von Patches.

Socomec schätzt diese Zusammenarbeit und unternimmt alle Anstrengungen, die eingegangenen Meldungen effizient und zeitnah zu bearbeiten. Wir ermutigen jeden und jede, sich in erster Linie an uns zu wenden und potenzielle Schwachstellen in unseren Produkten zu melden, damit wir Korrekturmaßnahmen ergreifen können, die der Sicherheit unserer Benutzer und der Allgemeinheit dienen.

Socomec bietet keine Bug Bounties an, aber unsere Vulnerability Disclosure Policy (VDP) umfasst eine Wall of Fame, über die wir offen über Ihren Beitrag zur Identifizierung und Korrektur von Schwachstellen in unseren Produkten kommunizieren, wenn Sie dies wünschen.

 

Geltungsbereich

Die Richtlinie zur Offenlegung von Schwachstellen gilt für alle natürlichen und juristischen Personen, insbesondere für Sicherheitsforscher, und deckt alle Schwachstellen im Zusammenhang mit allen Produkten, Anwendungen und Diensten von Socomec sowie allen Websites von Socomec ab.

 

Richtlinien

Bitte beachten Sie die folgenden Richtlinien, wenn Sie eine Sicherheitslücke melden.

Das Aufdecken von Schwachstellen in unseren Produkten in der Öffentlichkeit kann schwerwiegende Folgen haben und den Interessen von Socomec schaden. Wir behalten uns alle Rechte vor, rechtliche Schritte gegen jede natürliche und/oder juristische Person einzuleiten, die Socomec Schaden zufügt, indem sie die folgenden Richtlinien missachtet und/oder verletzt.

Do

  • Benachrichtigen Sie Socomec so schnell wie möglich, nachdem Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt haben;
  • Beschreiben Sie den Ort der entdeckten Schwachstelle und ihre potenziellen Auswirkungen;
  • Bieten Sie eine detaillierte Beschreibung der Schritte an, die erforderlich sind, um die Schwachstelle zu reproduzieren (Proof-of-Concept-Skripte oder Screenshots sind hilfreich);
  • Schreiben Sie Ihren Bericht in englischer Sprache;.
  • Setzen Sie alles daran, die Verletzung der Privatsphäre, die Beeinträchtigung der Benutzerfreundlichkeit, die Störung von Produktionssystemen und die Zerstörung oder Manipulation von Daten zu vermeiden;
  • Verwenden Sie Exploits nur in dem Maße, wie es zur Bestätigung des Vorhandenseins einer Schwachstelle erforderlich ist. Verwenden Sie einen Exploit nicht, um Daten zu kompromittieren oder zu exfiltrieren, dauerhaften Befehlszeilenzugriff herzustellen oder den Exploit zu verwenden, um auf andere Systeme überzugehen;
  • Verpflichten Sie sich, eine gemeldete Schwachstelle erst dann öffentlich bekannt zu geben, wenn eine Behebung oder Abschwächung veröffentlicht wurde und Sie die Genehmigung von Socomec erhalten haben.

Don't

  • Ein hohes Volumen an Berichten von geringer Qualität einreichen;
  • Eine finanzielle Entschädigung im Austausch für Ihre Berichte verlangen;
  • Eine Netzwerk-Denial-of-Service (DoS oder DDoS) Tests oder andere Tests planen, die den Zugang zu einem System oder Daten beeinträchtigen oder beschädigen;
  • Eine physische Prüfung (z.B. Bürozugang), Social Engineering (z.B. Phishing, Vishing) oder andere nicht-technische Schwachstellenprüfungen durchführen.

Melden Sie eine Schwachstelle

Die im Rahmen dieser Richtlinie übermittelten Informationen werden ausschließlich zu Verteidigungszwecken verwendet, um Schwachstellen zu entschärfen oder zu beheben. Socomec wird Ihre Identität oder Kontaktinformationen nur mit Ihrer ausdrücklichen Genehmigung weitergeben.

Sie können Ihre Schwachstellenmeldungen über dieses Formular oder über cyberalert@socomec.com einreichen. Berichte können anonym eingereicht werden. Bitte geben Sie in Ihrem Bericht an:

  • Eine Beschreibung der Schwachstelle;
  • die möglichen Auswirkungen der Schwachstelle;
  • das betroffene Produkt und seine Version;
  • die CVSS-Details: Angriffsvektor, Angriffskomplexität, erforderliche Privilegien, Benutzerinteraktion, Umfang und die Auswirkungen auf Vertraulichkeit, Integrität und Verfügbarkeit.

 

Was Sie von Socomec erwarten können

Nach der Übermittlung des Berichts:

  • Wir benachrichtigen Sie innerhalb von 72 Stunden nach Eingang des Berichts, dass wir ihn erhalten haben;
  • Wir werden die Schwachstelle innerhalb von 30 Tagen nach Eingang des Berichts qualifizieren. Sollten uns besondere Probleme daran hindern, diese Frist einzuhalten, werden wir umgehend eine neue angemessene und verhältnismäßige Frist für den Abschluss der Qualifizierung mitteilen;
  • Wir werden die Schwachstelle beheben und die Behebung für kritische und wichtige Schwachstellen innerhalb von 60 Tagen ab dem Datum der Qualifizierung veröffentlichen. Sollten uns besondere Schwierigkeiten daran hindern, diese Frist einzuhalten, werden wir umgehend eine neue angemessene und verhältnismäßige Frist für den Abschluss dieser Qualifizierung mitteilen.

 

Fragen

Fragen zu dieser Richtlinie können an cyberalert@socomec.com gesendet werden. Wir laden Sie auch ein, Socomec mit Vorschlägen zur Verbesserung dieser Richtlinie zu kontaktieren.

Einen Vorfall / eine Schwachstelle melden
Bitte kontaktieren Sie für um einen Vorfall oder eine Schwachstelle an einem unserer Produkte zu melden.
Einen Vorfall melden
Cyber-Sicherheit und Datenschutz
Die Sicherheit Ihrer Daten steht für uns an erster Stelle. Erfahren Sie, wie wir Ihnen dank unserer Richtlinien zur Cyber-Sicherheit sichere, vertrauenswürdige Verbindungen liefern.
Unsere Verpflichtungen zur Cyber-Sicherheit