Verantwortungsvolle offenlegung

Letztes Update: 30/06/2021

DOBCO Medical Systems legt großen Wert auf die Sicherheit seiner Informationen und Systeme.

Trotz unserer Sorge um die Sicherheit dieser Systeme kann es vorkommen, dass immer noch eine Schwachstelle vorhanden ist.

Sollten Sie eine Schwachstelle in einem unserer Systeme gefunden haben, teilen Sie uns dies bitte mit, damit wir schnellstmöglich Maßnahmen einleiten können. Wir möchten mit Ihnen zusammenarbeiten, um unsere Daten, unsere Nutzer und unsere Systeme besser zu schützen.

Wir haben uns daher für eine Richtlinie zur koordinierten Offenlegung von Schwachstellen (auch bekannt als „Richtlinie zur verantwortungsvollen Offenlegung“) entschieden, damit Sie uns informieren können, wenn Sie eine Schwachstelle entdecken.

Diese Richtlinie zur verantwortungsvollen Offenlegung gilt für die folgenden Systeme, die von DOBCO Medical Systems verwaltet werden:

Bitte kontaktieren Sie uns im Zweifelsfall zur Klärung über infosec@dobcomed.com

Was wir von dir verlangen

Wenn Sie eine Schwachstelle in einem unserer Systeme entdecken, bitten wir Sie:

  • Melden Sie die Schwachstelle so schnell wie möglich nach der Entdeckung. Mailen Sie Ihre Ergebnisse an infosec@dobcomed.com.
  • Geben Sie ausreichende Informationen an, um die Schwachstelle zu reproduzieren, damit wir das Problem so schnell wie möglich beheben können. Normalerweise ist die URL des betroffenen Systems und eine Beschreibung der Schwachstelle ausreichend, bei komplexeren Schwachstellen können jedoch weitere erforderlich sein.
  • Hinterlassen Sie Ihre Kontaktdaten, damit DOBCO Medical Systems Sie kontaktieren kann, um gemeinsam an einem sicheren Ergebnis zu arbeiten. Hinterlassen Sie mindestens Ihren Namen, Ihre E-Mail-Adresse und/oder Ihre Telefonnummer. Die Meldung unter einem Pseudonym ist möglich, aber stellen Sie sicher, dass wir Sie bei weiteren Fragen kontaktieren können.
  • Bestätigen Sie, dass Sie gemäß dieser Richtlinie zur verantwortungsvollen Offenlegung gehandelt haben und weiterhin handeln werden.

Regeln, die Sie befolgen müssen

  • Geben Sie die Schwachstelle nicht bekannt, bis wir sie beheben konnten. Siehe unten für mögliche Veröffentlichung
  • Nutzen Sie die Sicherheitslücke nicht durch unnötiges Kopieren, Löschen, Anpassen oder Anzeigen von Daten. Oder beispielsweise indem mehr Daten heruntergeladen werden, als zum Nachweis der Schwachstelle erforderlich sind.
  • Wenden Sie die folgenden Aktionen nicht an:
    • Platzieren von Malware (Virus, Wurm, Trojanisches Pferd usw.).
    • Kopieren, Ändern oder Löschen von Daten in einem System.
    • Änderungen am System vornehmen.
    • Wiederholtes Zugreifen auf das System oder Teilen des Zugangs mit anderen.
    • Verwendung automatischer Scan-Tools.
    • Nutzung der sogenannten "brute force" des Zugriffs auf Systeme.
    • Verwendung von (D)DOS-Angriffen, physischen Angriffen oder Social Engineering (Phishing, Vishing, Spam,...).
  • Löschen Sie unverzüglich alle Daten, die durch Sicherheitslücken erlangt wurden, sobald diese an DOBCO Medical Systems gemeldet wurden.
  • Führen Sie keine Aktionen durch, die die ordnungsgemäße Funktion des Systems beeinträchtigen könnten, sowohl in Bezug auf Verfügbarkeit und Leistung, als auch in Bezug auf Vertraulichkeit und Integrität der Daten.

Handlungen gemäß dieser Richtlinie zur verantwortungsvollen Offenlegung sollten sich auf die Durchführung von Tests zur Identifizierung potenzieller Schwachstellen und die Weitergabe dieser Informationen an DOBCO Medical Systems beschränken.

Wenn Sie nach Beseitigung der Schwachstelle Informationen zur Schwachstelle veröffentlichen möchten, bitten wir Sie, uns dies mindestens einen Monat vor der Veröffentlichung mitzuteilen und uns Gelegenheit zur Stellungnahme zu geben. Eine Nennung uns in einer Veröffentlichung ist nur nach unserer ausdrücklichen Zustimmung möglich.

Unsere Verpflichtungen

Wenn Sie die obigen Bestimmungen der Richtlinie zur verantwortungsvollen Offenlegung eingehalten haben und keine anderen Verstöße begangen haben,

  • Wir werden keine rechtlichen Schritte gegen Sie einleiten.
  • Wir werden innerhalb kurzer Zeit, möglichst innerhalb von 10 Arbeitstagen, auf Ihren Bericht mit unserer Prüfung des Berichts und einem voraussichtlichen Datum für die Lösung antworten.
  • Wir behandeln Ihre Meldung vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre Einwilligung an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich.
  • Wir halten Sie über den Fortschritt der Problemlösung auf dem Laufenden.
  • Wir möchten Ihnen für die Meldung eines uns noch nicht bekannten Sicherheitsproblems danken, indem wir Ihnen die Möglichkeit bieten, in unsere "Hall Of Fame" aufgenommen zu werden.
  • Wir bemühen uns, alle Probleme innerhalb kurzer Zeit zu lösen.

Wir können uns jedoch dafür entscheiden, Berichte von geringer Qualität zu ignorieren.

Bei Fragen wenden Sie sich bitte an infosec@dobcomed.com

Bei Zweifeln über die Anwendbarkeit dieser Richtlinie kontaktieren Sie uns bitte zuerst über diese E-Mail-Adresse, um eine ausdrückliche Genehmigung einzuholen.

Wir behalten uns das Recht vor, den Inhalt dieser Richtlinie jederzeit zu ändern oder die Richtlinie zu kündigen.

Dieser Text ist ein abgeleitetes Werk von "Responsible Disclosure" von Floor Terra, das unter einer Creative Commons Attribution License 3.0 verwendet wird.