Responsible Disclosure

Jedes IT-System kann Fehler und Schwächen aufweisen. Einige davon können die Integrität, die Vertraulichkeit und die Verfügbarkeit unserer Dienste beeinträchtigen. Daher ist es äußerst wichtig Erkenntnisse in diesem Zusammenhang sehr verantwortungsbewusst zu handhaben.

Die folgende Richtlinie bezieht sich auf eben solche möglichen Probleme.

 

Eines unserer Hauptziele hierbei ist es, im konstruktiven Dialog Schwachstellen zu diskutieren, zu bestätigen oder zu entkräften und nötigenfalls diese zu beheben.

Sollten Sie im Zusammenhang mit unserer Website, unseren Produkten oder unseren Dienstleistungen auf solche Schwachstellen stoßen, bitten wie Sie dieses an uns über die Adresse disclosure @ aixigo.com zu melden.

Bitte liefern Sie ausreichend technische Informationen, damit wir Ihre Beobachtung verstehen und ggf. beseitigen können.

 

Wichtige Angaben hierbei sind  z.B.:

  • IP-Adresse und Name des Webservers
  • IP-Adresse des explorierenden Systems
  • die Art der Schwachstelle (z.B. Code-Injection, RXSS, DOS usw.)
  • Erklärung, HTTP-Request oder API-Aufruf, um die Sicherheitslücke aufzuspüren

 

Als Reaktion auf Ihre Meldung werden wir folgendes veranlassen:

  • Wir senden Ihnen ein qualifiziertes Feedback zu Ihrer Meldung
  • Wir bleiben mit Ihnen in Verbindung bis das Problem behoben ist
  • Wir werden uns bemühen, das Problem so schnell wie möglich und entsprechend seiner Auswirkung zu beseitigen

 

Wir bitten Sie, Folgendes zu beachten:

  • Informieren Sie uns unverzüglich, so sie von einer Schwachstelle Kenntnis erlangen
  • Nutzen Sie die Schwachstellen nicht weiter aus, um tiefer in unsere oder andere Systeme einzudringen, Daten zu extrahieren oder unsere oder andere Systeme oder Rechte Dritter zu verletzen
  • Informieren Sie die Öffentlichkeit nicht über etwaige Schwachstellen bevor wir die mögliche Schwachstelle nicht beseitigt oder entkräftet haben
  • Wenden Sie keine physische Gewalt, Social Engineering oder andere Maßnahmen an, die möglicherweise unsere oder die Rechte Dritter verletzen