Royal FloraHolland | Coordinated Vulnerability Disclosure…

Coordinated Vulnerability Disclosure Statement

Bei Royal FloraHolland steht die Sicherheit unserer Systeme an erster Stelle. Wir möchten ein möglichst sicheres Umfeld für unsere Gärtner und Käufer schaffen. Dennoch kann es Sicherheitslücken geben, die unsere Systeme angreifbar machen. Zu diesem Zweck gibt es ein Verfahren zur koordinierten Offenlegung von Schwachstellen. Haben Sie einen Fehler oder eine Sicherheitslücke entdeckt? Wir würden uns freuen, von Ihnen zu hören!

Unsere Bitte:

  • Senden Sie Ihre Meldung über die folgende URL:  Zerocopter
  • Bitte verwenden Sie den CVSS-Rechner für die Auflistung der Hinweise.

Dos:

  • Geben Sie Ihre Meldung so schnell wie möglich durch. Damit verhindern Sie, dass Unbefugte die Sicherheitslücke ebenfalls finden und ausnutzen.
  • Geben Sie Ihre Meldung auf vertrauliche Weise an die Organisation weiter. Damit verhindern Sie, dass auch Dritte auf diese Informationen zugreifen können.
  • Bitte geben Sie uns genügend Informationen, um das Problem anschaulich zu machen, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems sowie eine Beschreibung der Schwachstelle aus. Bei komplexeren Schwachstellen können jedoch weiterreichende Informationen erforderlich sein.

Don‘ts:

  • Sprechen Sie mit niemandem über die Schwachstelle oder das Problem, bis es gelöst ist.
  • Bauen Sie keine eigene Backdoor in ein Informationssystem ein, um damit auf die Schwachstelle hinzuweisen. Dies könnte zusätzliche Schäden und unnötige Sicherheitsrisiken verursachen.
  • Missbrauchen Sie eine Schwachstelle nicht über das Maß hinaus, das zur Feststellung der Schwachstelle erforderlich ist.
  • Kopieren, verändern oder löschen Sie keine Daten aus dem System. Eine Alternative dazu ist die Erstellung einer Verzeichnisauflistung eines Systems.
  • Nehmen Sie keine Änderungen am System vor.
  • Greifen Sie nicht wiederholt auf das System zu und teilen Sie den Zugang nicht mit anderen.
  • Versuchen Sie bitte nicht, sich mit Brute-Force-Angriffen oder Social Engineering, Sicherheitsangriffen, DDoS-Attacken, Spam oder Anwendungen Dritter Zugriff auf Systeme zu verschaffen.

Unser Versprechen:

  • Wir antworten innerhalb von 5 Tagen auf Ihre Meldung und informieren Sie über unsere Bewertung der Meldung sowie ein voraussichtliches Datum für die Lösung.
  • Wenn Sie den genannten Bedingungen entsprochen haben, werden wir keine rechtlichen Schritte gegen Sie aufgrund der Meldung einleiten.
  • Wir behandeln Ihre Meldung vertraulich und geben Ihre persönlichen Daten nicht ohne Ihre Zustimmung an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich. Eine Meldung unter Pseudonym oder Anonymität ist möglich.
  • Wir werden Sie über die Fortschritte bei der Lösung des Problems auf dem Laufenden halten,
  • Bei der Berichterstattung über das gemeldete Problem werden wir - sofern Sie dies wünschen - Ihren Namen als Entdecker angeben.

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen und sind gerne bereit, uns an der Veröffentlichung des Problems zu beteiligen, nachdem es gelöst ist.

Alle Rechte vorbehalten.