Sicherheitspolitik
Bei MijnPartnerGroep legen wir großen Wert auf die Sicherheit unserer Systeme, unseres Netzwerks und unserer Produkte. Wir arbeiten kontinuierlich an der Sicherheit und Optimierung unserer Webseiten und Systeme. Trotz aller Sorgfalt, die wir auf die Sicherheit verwenden, kann es vorkommen, dass eine Schwachstelle entdeckt wird. Wenn dies der Fall ist, möchten wir so schnell wie möglich davon erfahren, damit wir schnell Maßnahmen ergreifen können.
Schwachstellen können auf zwei Arten entdeckt werden: Sie stoßen bei der normalen Nutzung einer digitalen Umgebung zufällig auf etwas, oder Sie bemühen sich explizit, eine Schwachstelle zu finden.
Unsere Richtlinie zur verantwortungsvollen Offenlegung ist keine Aufforderung, unser Firmennetzwerk und unsere Websites aktiv auf Schwachstellen zu scannen, da wir unsere Websites und unser Netzwerk selbst überwachen. Dabei können Kosten anfallen. Wir behalten uns das Recht vor, diese Kosten weiterzugeben.
Im Hinblick auf unsere Produkte sind Sie herzlich eingeladen, aktiv in einer Offline- und Nicht-Produktionsumgebung nach Schwachstellen zu suchen und uns Ihre Funde zu melden. Aus Verantwortung gegenüber unseren Kunden wollen wir keine Hacking-Versuche auf deren Infrastruktur fördern. Wir möchten jedoch von Ihnen hören, sobald Schwachstellen gefunden werden, damit wir diese entsprechend beheben können.
Wir würden gerne mit Ihnen zusammenarbeiten, um unsere Kunden und unsere Systeme besser zu schützen.
Wir bitten Sie darum:
Mailen Sie Ihre Ergebnisse so schnell wie möglich an security@mijnpartnergroep.nl.
Missbrauchen Sie die Sicherheitslücke nicht, indem Sie z. B. Daten herunterladen, ändern oder löschen. Wenn Sie eine Schwachstelle demonstrieren, verwenden Sie möglichst Ihre eigenen Konten und lesen Sie maximal 1 Datensatz vor. Wir werden Ihre Meldung immer ernst nehmen und jedem Verdacht auf eine Sicherheitslücke nachgehen, auch ohne "Beweis".
Teilen Sie das Problem nicht mit anderen, siehe auch Kommunikation (Veröffentlichung).
Verwenden Sie keine physischen Sicherheitsangriffe, Social Engineering oder Hacking-Tools, wie z. B. Schwachstellen-Scanner.
Geben Sie uns genügend Informationen, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder URL des betroffenen Systems und eine Beschreibung der Sicherheitslücke aus, bei komplexeren Sicherheitslücken kann jedoch mehr erforderlich sein.
Was wir versprechen:
Wir werden Ihre Meldung innerhalb von drei Werktagen mit einem voraussichtlichen Termin für die Lösung beantworten. Wenn kein Termin für die Lösung angegeben wird, wird das Problem innerhalb von 30 Tagen behandelt und gelöst. Selbstverständlich werden wir Sie auf dem Laufenden halten.
Wir werden Ihren Bericht vertraulich behandeln und Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weitergeben. Eine Ausnahme bilden die Polizei- und Justizbehörden, im Falle einer Anzeige oder wenn Daten eingefordert werden.
Wir werden Sie über den Fortschritt der Problemlösung auf dem Laufenden halten.
Wenn Sie es wünschen, werden wir Ihren Namen als die Person, die das Problem gemeldet hat, in die Benachrichtigung aufnehmen.
Leider ist es nicht möglich, rechtliche Schritte im Voraus auszuschließen. Wir wollen jede Situation separat betrachten können. Wir sehen uns moralisch verpflichtet, den Moment zu melden, in dem wir den Verdacht haben, dass die Schwachstelle oder die Daten missbraucht werden, oder dass Sie Ihr Wissen über die Schwachstelle mit anderen geteilt haben. Sie können sicher sein, dass eine zufällige Entdeckung in unserer Online-Umgebung nicht zu einer Meldung führen wird.
Als Dankeschön für Ihre Hilfe setzen wir für jede Meldung eines uns noch nicht bekannten Sicherheitsproblems eine Belohnung aus. Die Höhe der Belohnung richtet sich nach der Schwere des Lecks und der Qualität des Berichts.
Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, halten alle Beteiligten auf dem Laufenden und sind gerne bereit, nach der Lösung des Problems an einer Veröffentlichung über das Problem mitzuwirken.
Schwachstellen, die über den Geltungsbereich dieser Richtlinie hinausgehen:
- Aufzählung von Benutzernamen auf Client-Systemen (d. h. Verwendung von Serverantworten, um festzustellen, ob ein bestimmtes Konto existiert)
- Jeder Fehler, der sich auf einen veralteten Browser bezieht
- Clickjacking auf Seiten ohne sensible Aktionen.
- Unauthentifizierter / Logout / Login CSRF.
- Angriffe, die MITM oder physischen Zugriff auf das Gerät eines Benutzers erfordern.
- Bisher bekannte anfällige Bibliotheken ohne funktionierenden Proof of Concept.
- Comma Separated Values (CSV)-Injektion, ohne eine Schwachstelle zu demonstrieren.
- Probleme mit SSL-Zertifikaten
- Serverkonfigurationsprobleme (z. B. offene Ports, TLS-Versionen, fehlende Best Practices bei der SSL/TLS-Konfiguration usw.).
- Probleme mit der DNS-Konfiguration
- Jede Aktivität, die zu einer Unterbrechung unseres Dienstes (DoS) führen könnte.
- Probleme mit Content-Spoofing und Text-Injection ohne Anzeige eines Angriffsvektors / ohne die Möglichkeit, HTML / CSS zu verändern
Kommunikation (Publishing)
Während des Bewertungs- und Lösungsprozesses ist es nicht erlaubt, ohne unsere Genehmigung zu veröffentlichen. Wenn das CVD-Verfahren abgeschlossen ist, steht Ihnen die Veröffentlichung frei. Wir möchten jedoch vor der Veröffentlichung Zugang zu den Informationen haben, um eventuelle Ungenauigkeiten zu korrigieren. Eine Veröffentlichung darf nur im gegenseitigen Einvernehmen erfolgen.
Geltungsbereich dieser Richtlinie:
- Mijnpartnergroep.nl
- Mijn*partner.nl/be/de/eu
Jedes Asset, das nicht im Geltungsbereich aufgeführt ist, fällt für die Zwecke dieser Richtlinie nicht in den Geltungsbereich, ebenso wie alle Inhalte, die von und für Kunden gehostet werden, sowie Programme und Plug-ins von Dritten.
Bitte beachten Sie, dass einige unserer Websites auf einer ähnlichen Codebasis laufen. Das bedeutet, dass Probleme, die an einer Anlage gefunden wurden, auch für eine andere Anlage gelten können. Diese Erkenntnisse werden als ein Problem betrachtet und behandelt.