Security Incident
Reporting Policy
Da Sicherheit für uns und unsere Kunden von zentraler Bedeutung ist, setzen wir uns bei Vimar dafür ein, die Sicherheit und den Schutz unserer Produkte und Dienstleistungen zu garantieren. Vimar unterstützt die Offenlegung der Schwachstellen, fördert verantwortungsvolle Schwachstellentests und nimmt jede Meldung im Zusammenhang mit möglichen Sicherheitsschwachstellen ernst.
Befolgen Sie bitte nachstehende Schritte für die Anzeige einer möglichen Sicherheitsschwachstelle.
Berichterstattungsverfahren
- Benutzen Sie bitte unseren öffentlichen PGP-Schlüssel (Download), um jede an unsere Adresse security-report-on-iot@vimar.com E-Mail zu verschlüsseln
- Teilen Sie Ihre Bezugsnummer und ausreichende Kontaktinformationen mit, wie zum Beispiel;
a. Ihre Kontaktinformationen;
b. Name der Person, die die Schwachstelle festgestellt hat;
c. Datum, an dem die Schwachstelle festgestellt wurde, mit Angaben über die Art und Weise ihrer Entdeckung.
d. Verwenden Sie die englische Sprache. - Fügen Sie eine technische Beschreibung des Problems oder der Schwachstelle bei. Stellen Sie so viele Informationen wie möglich über das Produkt oder die Dienstleistung bereit, zum Beispiel die Versionsnummer und die verwendete Konfiguration (d.h. die Tools). Falls Sie einen spezifischen Konzeptnachweis oder Exploit-Code geschrieben haben, legen Sie eine Kopie davon bei. Stellen Sie sicher, dass der gesamte übermittelte Code deutlich als solcher gekennzeichnet und mit unserem PGP-Schlüssel (Download) verschlüsselt ist;
- Sollten Sie spezifische Bedrohungen angesichts der Schwachstelle erkannt und das Risiko bewertet haben, reichen Sie bitte auch diese Informationen ein.
Download | Größe | Datum | |
---|---|---|---|
PGP public key | 1.97 K | 15/06/2021 |
Bericht: Auswertung und Aktion
- Vimar wird:
a. Den Empfang Ihrer Meldung innerhalb von 14 Werktagen bestätigen;
b. Ihnen eine eindeutige Tracking-Nummer für Ihre Meldung bereitstellen;
c. Jedem übermittelten Fall eine Kontaktperson zuweisen;
d. Die zuständigen technischen Teams benachrichtigen. - Vimar wird Sie über den Stand Ihrer Meldung auf dem laufenden halten.
- Betrifft die Schwachstelle tatsächlich eine Drittanbieter-Komponente oder -Dienstleistung, die Teil unseres/unserer Produkt/Dienstleistung ist, werden wir die Meldung besagtem Drittanbieter übermitteln und Sie über diese Benachrichtigung informieren. Zu diesem Zweck bitten wir in Ihrer E-Mail um Mitteilung, ob in vorgenannten Fällen die Bereitstellung Ihrer Kontaktinformationen an Dritte erlaubt ist.
- Nach Empfang einer Schwachstellenanzeige wird Vimar; a. Die gemeldete Schwachstelle prüfen;
b. Eine Lösung ausarbeiten;
c. Die Qualitätskontroll-/Validierungsprüfung der Lösung ausführen;
d. Die Lösung freigeben;
e. Die gewonnenen Erkenntnis mit den Entwicklungsteams teilen. - Um die Freigabe von Patches oder Sicherheitskorrekturen zu managen, verwendet Vimar die Benachrichtigungsprozesse der bestehenden Kunden, die ohne Einschränkung und nach alleinigem Ermessen von Vimar die direkte Benachrichtigung des Kunden bzw. die öffentliche Bereitstellung einer Mittelung auf unserer Website beinhalten können.
Wichtiger Hinweis
- Enthalten Sie sich von der Einbindung sensibler personenbezogener Informationen in den gegebenenfalls vom Benutzer übermittelten Bildschirmfotos oder anderen Anhängen.
- Führen Sie keine Schwachstellentests an benutzten Anwendungen, Produkten oder Dienstleistungen aus. Schwachstellentests dürfen lediglich an Geräten, Anwendungen, Produkten oder Dienstleistungen vorgenommen werden, die derzeit nicht in Benutzung sind oder nicht dafür bestimmt sind.
- Verwenden Sie zur Ausführung von Schwachstellentests von webbasierten Anwendungen, Produkten oder Dienstleistungen bitte Demo-/Testumgebungen.
- Nutzen Sie die/das entdeckte Schwachstelle oder Problem nicht aus; zum Beispiel, indem Sie mehr Daten als unbedingt erforderlich downloaden, um die Schwachstelle zu belegen, oder indem Sie Daten löschen bzw. ändern.
- Versuchen Sie bitte nicht, Daten anderer Benutzer zu löschen oder zu verwenden. Im Rahmen einer verantwortungsvoll koordinierten Offenlegung der Schwachstellen bitten wir Sie, mit Vimar bei der Wahl der öffentlichen Bereitstellungszeitpunkte der Informationen angesichts der entdeckten Schwachstellen zusammenzuarbeiten.
- Beim Versuch, die Schwachstellen zu entdecken, dürfen keine unangemessenen Aktionen getroffen werden, wie zum Beispiel, aber nicht beschränkt auf:a. Benutzung von Social Engineering, um Zugang zu erhalten oder an Informationen zu gelangen;
b. Installation oder Einbau von Backdoors in einer IT-Anwendung, einem Produkt oder einer Dienstleistung mit der Absicht, diese zum Nachweis der Schwachstelle zu benutzen;
c. Nutzung einer Schwachstelle über den zur Feststellung ihres Bestehens erforderlichen Rahmen hinaus.
d. Vornahme von Änderungen an Anwendung, Produkt oder Dienstleistung;
e. Wiederholter Zugriff auf die Anwendung, das Produkt oder die Dienstleistungen bzw. Teilen des Zugriffs mit anderen;
f. Nutzung von Brute-Force-Angriffen, um Zugang zur Anwendung, dem Produkt oder der Dienstleistung zu erhalten. Dies ist keine Schwachstelle im eigentlichen Sinne, sondern das wiederholte Versuchen von Passwörtern. - Vimar wird den Forschern, die eine Schwachstelle anzeigen oder Tests ausführen, in den öffentlich bereitgestellten Informationen zur Freigabe von Patches oder Sicherheitskorrekturen volle Anerkennung zollen, sofern verlangt.
Notice
Wenn Sie Informationen welcher Art auch immer im Rahmen der verantwortungsvollen Offenlegung mit Vimar teilen, akzeptieren Sie, dass die eingesendeten Informationen als nicht eigentumsrechtlich geschützt und als nicht vertraulich eingestuft werden. Vimar ist zur uneingeschränkten Nutzung der geteilten Informationen oder eines Teils derselben berechtigt. Sie akzeptieren, dass das Einsenden von Informationen keinerlei Rechte für Sie und keinerlei Verpflichtungen für Vimar begründet. Vimar verarbeitet die personenbezogenen Daten gemäß der Produkt- und App-Datenschutzrichtlinie der Website.