Schwachstelle entdeckt? Lassen Sie es uns wissen.

Für die Pon Holdings B.V. und ihre Tochtergesellschaften ist die Sicherheit ihrer Systeme und ihres Netzwerks ausgesprochen wichtig. Wir wissen, dass deren ordnungsgemäße Sicherung für das Vertrauen unserer Kunden, Zulieferer und Mitarbeiter unverzichtbar ist. Ungeachtet der für die Sicherheit unserer IT-Systeme aufgewandten Sorgfalt kann es vorkommen, dass Schwachstellen entdeckt werden.

Auf der Grundlage unserer Responsible Disclosure -Strategie bitten wir jeden, der eine Schwachstelle entdeckt, uns dies schnellstmöglich anzuzeigen, damit wir angemessene Maßnahmen treffen können. Gerne arbeiten wir mit Ihnen bei der Beseitigung von Schwachstellen zusammen. Unsere Responsible Disclosure-Strategie ist keine Aufforderung zu umfassendem aktivem Scannen unseres Firmennetzwerks, um so Schwachstellen aufzuspüren. Wir überwachen unser Netzwerk selbst.

Wir bitten Sie:

  • Bitte schicken Sie Ihre Feststellungen schnellstmöglich an rd@pon.com. Sollten Sie Ihre Mitteilung in verschlüsselter Form versenden wollen, weisen Sie in Ihrer E-Mail bitte darauf hin. Sie erhalten von uns dann entsprechende Anweisungen;
  • Bitte geben Sie uns für die Reproduktion der Schwachstelle ausreichende Informationen an die Hand, damit wir das Problem schnellstmöglich lösen können. Meist genügt die IP-Adresse oder URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle, doch können bei komplexeren Schwachstellen mehr Informationen erforderlich sein;
  • Missbrauchen Sie die Schwachstelle nicht zur Einsichtnahme in Daten oder zu deren Herunterladen, Löschung oder Änderung;
  • Behalten Sie Ihr Wissen um eine Schwachstelle bis zu deren Beseitigung für sich. Sollten Sie unerwartet vertrauliche Daten erhalten haben, dann löschen Sie diese Daten bitte unverzüglich;
  • Angriffe auf physische Sicherungen oder die Applikationen Dritter sowie Handlungen des Social Engineering, Distributed Denial of Service (DDoS), Spam oder mit Hacking Tools wie Vulnerability Scanners sind strikt untersagt.

 

Was dürfen Sie erwarten:

  • Wir nehmen Ihre Meldung stets ausgesprochen ernst. Auch vermutete Schwachstellen werden von uns überprüft;
  • Auf Ihre Meldung reagieren wir innerhalb von 5 Werktagen zusammen mit einer Beurteilung Ihrer Meldung und dem voraussichtlichen Termin für die Beseitigung der Schwachstelle;
  • Über den bei der Beseitigung der Schachstelle erreichten Fortschritt halten wir Sie auf dem Laufenden;
  • Wenn Sie sich an die vorbezeichneten Bedingungen halten, haben Sie von uns im Zusammenhang mit der Meldung in rechtlicher Hinsicht nichts zu befürchten. Die Staatsanwaltschaft ist berechtigt, über die Notwendigkeit einer Folgeuntersuchung jederzeit selbst zu entscheiden;
  • Wir behandeln Ihre Meldung vertraulich und teilen Ihre personenbezogenen Daten nur mit Ihrem Einverständnis mit Dritten, sofern wir nicht kraft geltender Rechtsvorschriften zur Herausgabe von Daten verpflichtet sind, wie beispielsweise nach polizeilicher oder richterlicher Anordnung;
  • Eine anonyme Meldung bedeutet möglicherweise, dass wir mit Ihnen zu den Folgeschritten und zum Fortschritt bei der Beseitigung der Schwachstelle nicht in Kontakt treten können;
  • Wir können unserer Wertschätzung im Wert von maximal € 50 Ausdruck verleihen. Dies bemisst sich nach der Tragweite der Schwachstelle und der Qualität der Meldung;
  • Wenn Sie dies wünschen, nennen wir Sie im Rahmen einer eventuellen Unterrichtung zur gemeldeten Schwachstelle namentlich als deren Entdecker;
  • Wir sind bestrebt, sämtliche Schwachstellen schnellstmöglich zu analysieren und zu beseitigen. Dabei halten wir alle Beteiligten auf dem Laufenden.

 

Diese Responsible Disclosure -Strategie fußt auf dem Leitfaden Responsible Disclosure des Nationaal Cyber Security Centrum sowie dem von Floor Terra verfassten Memo zu Responsible Disclosure.