Offenlegungspolitik

Diese Richtlinie zur Offenlegung von Schwachstellen gilt für alle Schwachstellen, die Sie uns (Develco Products A/S) zu melden gedenken.

Offenlegungspolitik

Diese Richtlinie zur Offenlegung von Schwachstellen gilt für alle Schwachstellen, die Sie uns (Develco Products A/S) zu melden gedenken.

Einleitung

Diese Richtlinie gilt für alle von Develco Products A/S angebotenen Produkte und Dienstleistungen.

Develco Products bietet eine drahtlose IoT-Plattform an, die Lösungsanbieter nutzen können, um ihre eigene Lösung für häusliche Pflege, Sicherheit oder Energiemanagement zu entwickeln. Unsere ausgereifte IoT-Plattform macht es Ihnen leicht, Ihre benutzerdefinierte Anwendung auf der White-Label-Plattform aufzubauen, da wir Ihnen ein Software-Toolkit mit einer Reihe von Entwicklungswerkzeugen und Softwaremodulen zur Verfügung stellen.

Diese Richtlinie zur Offenlegung von Schwachstellen gilt für alle Schwachstellen, die Sie erwägen, uns (Develco Products A/S) zu melden. Wir empfehlen Ihnen, diese Richtlinie zur Offenlegung von Schwachstellen vollständig zu lesen, bevor Sie eine Schwachstelle melden, und immer in Übereinstimmung mit ihr zu handeln.

Wir schätzen diejenigen, die sich die Zeit und Mühe nehmen, Sicherheitsschwachstellen gemäß dieser Richtlinie zu melden. Wir bieten jedoch keine finanziellen Belohnungen für die Meldung von Sicherheitslücken an.

Meldungen

Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, senden Sie Ihren Bericht bitte per E-Mail an security@develcoproducts.com.

Geben Sie in Ihrem Bericht bitte folgendes an:

  1. Details zur Schwachstelle:
    • Asset (Webadresse, IP-Adresse, Produkt- oder Dienstname), bei dem die Schwachstelle beobachtet werden kann
    • Schwachstelle (z. B. CWE) (optional)
    • Schweregrad (z. B. CVSS v3.0) (optional)
    • Titel der Sicherheitslücke (erforderlich)
    • Beschreibung der Schwachstelle (diese sollte eine Zusammenfassung, unterstützende Dateien und mögliche Maßnahmen oder Empfehlungen enthalten) (erforderlich)
    • Auswirkungen (was könnte ein Angreifer tun?) (erforderlich)
    • Schritte zur Reproduktion: Dies sollte ein harmloser, unschädlicher Konzeptnachweis sein. Dies trägt dazu bei, dass der Bericht schnell und genau ausgewertet werden kann. Es verringert auch die Wahrscheinlichkeit von Doppelmeldungen oder die böswillige Ausnutzung einiger Schwachstellen, wie z. B. die Übernahme von Subdomains.
  2. Kontaktinformationen:
    • Name und E-Mail-Adresse (optional)

Was Sie erwarten können

Nachdem Sie Ihren Bericht eingereicht haben, werden wir uns innerhalb von 10 Arbeitstagen bei Ihnen melden und versuchen, Ihren Bericht innerhalb von 20 Arbeitstagen zu bearbeiten. Wir halten Sie über unsere Fortschritte auf dem Laufenden.

Die Priorität der Maßnahmen wird anhand der Auswirkungen, des Schweregrads und der Komplexität der Schwachstelle bewertet.

Die Sichtung und Behebung von Schwachstellen kann einige Zeit in Anspruch nehmen.

Sie können sich gerne nach dem Stand der Dinge erkundigen, sollten dies aber nicht öfter als alle 14 Tage tun. So können sich unsere Teams auf die Problembehebung konzentrieren.

Wir benachrichtigen Sie, wenn die gemeldete Schwachstelle behoben ist, und Sie werden gegebenenfalls aufgefordert, zu bestätigen, dass die Lösung die Schwachstelle angemessen abdeckt.

Sobald die Schwachstelle behoben ist, freuen wir uns über Anfragen zur Offenlegung Ihres Berichts. Wir möchten die Kommunikation mit den betroffenen Anwendern vereinheitlichen, daher koordinieren Sie bitte die Veröffentlichung mit uns.

Richtlinien​​

  • Verstoßen Sie nicht gegen geltende Gesetze oder Vorschriften
  • Greifen Sie nicht auf unnötige, übermäßige oder erhebliche Datenmengen zu
  • Ändern Sie keine Daten in den Systemen oder Diensten der Organisation
  • Verwenden Sie keine invasiven oder zerstörerischen Scan-Tools mit hoher Intensität, um Schwachstellen zu finden
  • Versuchen oder melden Sie niemals jegliche Form von Dienstverweigerung, z. B. Überwältigung eines Dienstes mit einer hohen Anzahl von Anfragen
  • Unterbrechen Sie nicht die Dienste oder Systeme der Organisation

Haben Sie Fragen? Kontaktieren Sie uns