Politik zur Offenlegung von Schwachstellen

1. Einleitung

Die Cleva zur Offenlegung von Sicherheitslücken ermutigt Sicherheitsforscher und die Öffentlichkeit, Feedback zu geben und sich an der verantwortungsvollen Erforschung und Offenlegung von Sicherheitslücken zu beteiligen. Wenn Sie glauben, dass Sie Schwachstellen, gefährdete Daten oder andere Sicherheitsprobleme entdeckt haben, laden wir Sie ein, uns zu kontaktieren. Diese Richtlinie umreißt die Schritte zur Meldung von Schwachstellen an uns und erläutert die Cleva zur Identifizierung und Meldung potenzieller Schwachstellen.

2. Definition

• Vertraulichkeitsfenster: Wenn wir Ihren Schwachstellenbericht akzeptieren, ist es unser Ziel, die Reparaturarbeiten abzuschließen und das Reparaturprogramm innerhalb von 90 Tagen nach der ersten Bestätigung freizugeben. Wenn wir zusätzliche Informationen benötigen, um die Schwachstelle zu bestätigen, werden wir Sie kontaktieren. Wenn wir nach 3 Versuchen keine Antwort erhalten haben, können wir den Fall abschließen, freuen uns aber über weitere Meldungen von Sicherheitslücken in der Zukunft.

• Wir: In dieser Richtlinie bezieht sich der Begriff "wir" auf Cleva und umfasst unsere Marke.

• Melden Sie eine Sicherheitslücke: Bitte melden Sie Sicherheitslücken an Cleva per E-Mail: [email protected]

• Offizieller Offenlegungskanal: Kommunikationskanal für die Offenlegung von Sicherheitslücken: https://www.eu.cleva.com/

3. Methode zur Meldung von Schwachstellen

Wenn Sie beim Testen oder bei der Nutzung von Cleva oder -Diensten Sicherheitsprobleme entdecken, senden Sie bitte detaillierte Informationen über Ihre Erkenntnisse per E-Mail an unseren offiziellen Meldekanal ([email protected]). Die Meldung über andere Kanäle kann zu verzögerten Antworten oder zur Vernachlässigung führen.

Wenn möglich, fügen Sie bitte die folgenden Informationen in den Schwachstellenbericht ein:

• Spezifische Produkte oder Dienste, die betroffen sind, einschließlich aller relevanten Versionsnummern.

• Detaillierte Informationen über die Auswirkungen des Problems; alle Informationen, die helfen, das Problem zu reproduzieren oder zu diagnostizieren.

• Wenn Sie glauben, dass die Sicherheitslücke bereits öffentlich bekannt ist oder einem Dritten bekannt ist.

4. Unser Bekenntnis

Bei der Zusammenarbeit mit uns und im Einklang mit dieser Richtlinie:

1. Wir bieten derzeit kein Permanent Vulnerability Bounty Program an und nehmen auch nicht daran teil. Wir akzeptieren keine Bounty-Zahlungen, Werbematerialien oder Kreditanfragen außerhalb des Prozesses der Veröffentlichung von Sicherheitsmeldungen.

2. Innerhalb von 5 Arbeitstagen nach Erhalt Ihres Schwachstellenberichts erhalten Sie von uns eine vorläufige Bestätigung und eine Kontrollnummer.

3. Innerhalb von 30 Tagen nach der ersten Bestätigung senden wir eine Bestätigung über die Annahme der Schwachstelle, die auch eine vorgeschlagene Frist für die Behebung enthält. Wenn wir die Meldung nicht annehmen, geben wir unsere Gründe an und bleiben offen für neue Informationen zu der Meldung.

Sobald die gemeldeten Schwachstellen bestätigt sind, arbeiten unsere Ingenieure an der Entwicklung geeigneter Korrekturen.

Wenn es Schwachstellen gibt, die nicht innerhalb der 90-Tage-Frist behoben werden können, werden wir mit Ihnen zusammenarbeiten, um die Vertraulichkeitsfrist zu verlängern oder andere Vorschläge zu unterbreiten. Die Lösungszeit kann durch folgende Faktoren beeinflusst werden:

• Der Zeitrahmen der vorgelagerten Lieferanten unterscheidet sich von unserem.

• Wenn eine beträchtliche Anzahl von Architekturänderungen erforderlich ist, um diese Schwachstelle zu beheben.

• Komplexe oder erweiterte Überprüfungsanforderungen aufgrund von Änderungen der Firmware auf niedriger Ebene.

Wir geben unabhängig Sicherheitshinweise heraus, um unseren Kunden und der Öffentlichkeit wichtige Sicherheitsinformationen zur Verfügung zu stellen. Wenn eine der folgenden Bedingungen erfüllt ist, ermutigen wir Sie, Schwachstellen im Zusammenhang mit unseren Sicherheitshinweisen oder CVEs (Common Vulnerabilities and Exposures) zu entdecken und zu melden:

• Die gemeldete Sicherheitslücke betrifft derzeit unterstützte Cleva ,

• Wir nehmen als Folge des Problems Code- oder Konfigurationsänderungen vor,

• Sie sind der erste, der diese Sicherheitslücke meldet,

• Ihre Forschung entspricht unseren Richtlinien zur verantwortungsvollen Offenlegung, und

• Sie erklären sich bereit, die Ergebnisse im Rahmen des Berichtsverfahrens zu bestätigen.

Die folgenden Modelle werden durch Software-Updates bis zum 31. Dezember 2035 unterstützt:

• VBRM18AMIDR , VBRM18AMID2R, VBRM18AMID4R, VBRM18AMID8R

• AMD18,AMD18i2, AMD18P2,AMD18i4, AMD18P4,AMD18i8, AMD18P8

• AMB18,AMB18i2, AMB18P2,AMB18i4, AMB18P4,AMB18i8, AMB18P8

• AMD16, AMD16i2, AMD16P2, AMD16i4, AMD16P4

• AMB16, AMB16i2, AMB16P2, AMB16i4, AMB16P4

• AMD18B,AMD18i2B,AMD18P2B,AMD18i4B,AMD18P4B,AMD18i8B,AMD18P8B

• AMB18B,AMB18i2B,AMB18P2B,AMB18i4B,AMB18P4B,AMB18i8B,AMB18P8B

• AMD16B, AMD16i2B, AMD16P2B, AMD16i4B, AMD16P4B

• AMB16B, AMB16i2B, AMB16P2B, AMB16i4B, AMB16P4B

• AMD18C,AMD18i2C,AMD18P2C,AMD18i4C,AMD18P4C,AMD18i8C,AMD18P8C

• AMB18C,AMB18i2C,AMB18P2C,AMB18i4C,AMB18P4C,AMB18i8C,AMB18P8C

• AMD16C, AMD16i2C, AMD16P2C, AMD16i4C, AMD16P4C

• AMB16C, AMB16i2C, AMB16P2C, AMB16i4C, AMB16P4C

• AMD18D,AMD18i2D,AMD18P2D,AMD18i4D,AMD18P4D,AMD18i8D,AMD18P8D

• AMB18D,AMB18i2D,AMB18P2D,AMB18i4D,AMB18P4D,AMB18i8D,AMB18P8D

• AMD16D, AMD16i2D, AMD16P2D, AMD16i4D, AMD16P4D

• AMB16D, AMB16i2D, AMB16P2D, AMB16i4D, AMB16P4D

• AMD18E,AMD18i2E,AMD18P2E,AMD18i4E,AMD18P4E,AMD18i8E,AMD18P8E

• AMB18E,AMB18i2E,AMB18P2E,AMB18i4E,AMB18P4E,AMB18i8E,AMB18P8E

• AMD16E, AMD16i2E, AMD16P2E, AMD16i4E, AMD16P4E

• AMB16E, AMB16i2E, AMB16P2E, AMB16i4E, AMB16P4E

• AMD18F,AMD18i2F,AMD18P2F,AMD18i4F,AMD18P4F,AMD18i8F,AMD18P8F

• AMB18F,AMB18i2F,AMB18P2F,AMB18i4F,AMB18P4F,AMB18i8F,AMB18P8F

• AMD16F, AMD16i2F, AMD16P2F, AMD16i4F, AMD16P4F

• AMB16F, AMB16i2F, AMB16P2F, AMB16i4F, AMB16P4F

• AMD18G,AMD18i2G,AMD18P2G,AMD18i4G,AMD18P4G,AMD18i8G,AMD18P8G

• AMB18G,AMB18i2G,AMB18P2G,AMB18i4G,AMB18P4G,AMB18i8G,AMB18P8G

• AMD16G, AMD16i2G, AMD16P2G, AMD16i4G, AMD16P4G

• AMB16G, AMB16i2G, AMB16P2G, AMB16i4G, AMB16P4G

Die obigen Modelle sind Basismodelle und werden ohne Suffix angezeigt. Basismodelle können das Suffix Plus/Max/Pro/3D/3DPro/3D-Pro/Ultra/SE haben, die in verschiedenen Verkaufsregionen verkauft werden können. Modelle mit dem Zusatz "18" gehören zur gleichen Serie, und Modelle mit dem Zusatz "16" sind ebenfalls Produkte der gleichen Serie.

5. Unsere Erwartungen

Wenn Sie an unserem Programm zur Offenlegung von Schwachstellen teilnehmen, müssen Sie unsere Richtlinie zur Offenlegung von Schwachstellen lesen, verstehen und ihr zustimmen, einschließlich aller Bestimmungen und Bedingungen. Die Einhaltung dieser Richtlinie ist erforderlich.

Wenn Sie mit der Richtlinie oder ihren Bedingungen nicht einverstanden sind, beenden Sie bitte Ihre Teilnahme. Wir werden Personen, die die Bedingungen nicht akzeptieren, keine entsprechenden Dienstleistungen anbieten.

Indem Sie Ihre Teilnahme fortsetzen, bestätigen Sie, dass Sie alle anwendbaren Richtlinien und Bedingungen, die unten aufgeführt sind, vollständig verstehen und akzeptieren.

1). Einhaltung der Vorschriften

• Sie müssen diese Richtlinie und alle anderen geltenden Vereinbarungen einhalten.

• Im Falle eines Konflikts zwischen dieser Richtlinie und anderen Bestimmungen hat diese Richtlinie Vorrang.

2). Rechtzeitige und verantwortungsvolle Offenlegung

• Melden Sie Schwachstellen, sobald sie entdeckt werden.

• Geben Sie keine Informationen über Schwachstellen an Personen außerhalb von Cleva weiter, bevor Sie Ihren Bericht einreichen.

3). Umgang mit sensiblen Daten

• Wenn Sie während des Tests absichtlich oder unabsichtlich auf geschützte Informationen, Kundendaten, Mitarbeiterdaten oder andere sensible Geschäftsinformationen von Clevazugreifen, müssen Sie dies tun:

  • Diese Informationen dürfen in keiner Form verwendet, gespeichert, weitergegeben oder aufgezeichnet werden.

  • Dokumentieren Sie diesen Zugang eindeutig in Ihrem Schwachstellenbericht.

4). Verantwortungsvolle Prüfung

• Bei Sicherheitstests müssen Sie dies vermeiden:

  • Verletzung der Privatsphäre der Nutzer.

  • Unterbrechung der Produktionssysteme.

  • Verschlechterung der Benutzererfahrung.

  • Verursachung von Datenverlusten oder -verletzungen.

• Insbesondere dürfen Sie nicht:

  • Durchführung destruktiver Tests (z. B. Denial of Service).

  • Zugriff auf oder Veränderung von nicht autorisierten Daten.

  • Angriffe auf Mitarbeiter, Vermögenswerte, Rechenzentren, Partner oder verbundene Unternehmen Cleva .

  • Social Engineering anwenden oder Ihre Identität oder Autorität falsch darstellen.

  • gegen geltende Gesetze oder Vereinbarungen verstoßen, um Schlupflöcher zu finden.

  • Durchführung von Nachforschungen über Produkte/Dienstleistungen außerhalb des von ihnen unterstützten Sicherheitslebenszyklus.

5). Berichterstattung und Lizenzvergabe

• Reichen Sie alle Sicherheitsberichte ausschließlich über das offizielle Schwachstellenmeldeverfahren von Cleva ein.

• Wenn Sie einen Bericht einreichen, gewähren Sie Cleva eine weltweite, unbefristete, lizenzgebührenfreie, nicht exklusive Lizenz zur Nutzung Ihres Beitrags zur Verbesserung unserer Produkte und Dienstleistungen.

6. Vertraulichkeit

• Machen Sie eine Sicherheitslücke erst dann öffentlich bekannt, wenn Cleva das Problem behoben und ein offizielles Sicherheitsbulletin veröffentlicht hat.

• Sie müssen die schriftliche Erlaubnis von Cleva einholen, bevor Sie Details über Sicherheitslücken an Dritte weitergeben.

7. Datenzugang und Benutzerschutz

• Wenn eine Sicherheitslücke den Zugriff auf Daten ermöglicht, beschränken Sie den Zugriff auf das, was für die Überprüfung erforderlich ist.

• Wenn Sie auf sensible Daten stoßen (wie z. B. persönlich identifizierbare Informationen (PII), persönliche Gesundheitsdaten (PHI), Zahlungsdaten oder geschützte Informationen), brechen Sie den Test sofort ab und melden Sie den Vorfall an Cleva.

• Interagieren Sie nur mit Testkonten, die Ihnen gehören oder für die Sie eine ausdrückliche Genehmigung des Kontoinhabers haben.