CompuGroup Medical Richtlinie zur Offenlegung von Sicherheitslücken

CompuGroup Medical ist verpflichtet, die vertraulichen Informationen unserer Kunden und die Sicherheit unserer Systeme zu schützen. Wir ermutigen Sicherheitsforscher, uns zu kontaktieren, um potenzielle Sicherheitslücken in Produkten, Anlagen oder Systemen von CompuGroup Medical zu melden. Bitte beachten Sie, dass dieses Programm keine monetären Belohnungen bietet und ausschließlich dem verantwortungsvollen Offenlegen von Sicherheitslücken dient. Wenn Sie der Meinung sind, eine potenzielle Sicherheitslücke gefunden zu haben, reichen Sie diese bitte gemäß den auf dieser Seite beschriebenen Richtlinien unseres Programms zur Offenlegung von Sicherheitslücken ein.

• Zum Schutz unserer Kunden geben wir keine Informationen über Sicherheitsprobleme bekannt, diskutieren sie oder bestätigen sie. Bitte besprechen Sie dieses Programm oder etwaige Sicherheitslücken (auch behobene) nicht außerhalb des Programms ohne ausdrückliche Zustimmung von CompuGroup Medical.
• Im Allgemeinen befolgen Sie bitte die Richtlinien und den Verhaltenskodex von HackerOne, aber alle in dieser Richtlinie festgelegten Bedingungen haben Vorrang vor den HackerOne-Bedingungen.
• Jede unautorisierte öffentliche Bekanntmachung oder Weitergabe einer Sicherheitslücke von CompuGroup Medical wird als Verstoß gegen diese Richtlinie betrachtet.
• Sie sollten niemals illegal oder in schlechter Absicht die Existenz einer Sicherheitslücke oder den Zugang zu sensiblen oder vertraulichen Informationen ausnutzen, wie z. B. durch Erpressungen oder Lösegeldforderungen. Wenn Sie eine Sicherheitslücke finden, melden Sie diese bitte ohne Bedingungen an uns.

Diese Richtlinie soll Sicherheitsforschern klare Anweisungen für die Meldung potenzieller Sicherheitslücken geben, indem sie beschreibt: (1) die Systeme und Tätigkeiten, die unter diese Richtlinie fallen und (2) wie gefundene potenzielle Sicherheitslücken eingereicht werden sollen. Dieses Programm billigt, ermutigt oder erlaubt keines der folgenden:

• Bösartiges Hacking oder anderweitige Versuche, sich unautorisierten Zugang zu Informationen, Software oder Systemen zu verschaffen.
• Weitergabe, Speicherung, Kompromittierung, Zerstörung oder Nutzung jeglicher firmeneigener oder vertraulicher Daten von CompuGroup Medical, einschließlich Kunden- oder Verbraucherdaten. Wenn solche Daten entdeckt werden, sollten Sie Ihre Tätigkeit sofort stoppen, die entsprechenden Daten aus Ihrem System löschen und CompuGroup Medical umgehend über das HackerOne-Portal kontaktieren.
• Handlungen, die gegen die Gesetze oder Vorschriften eines Landes verstoßen, in dem Sie Ihre Forschungstätigkeiten durchführen, durch das Daten von CompuGroup Medical geleitet werden oder in dem Daten oder Systeme von CompuGroup Medical gespeichert sind.
• Beeinträchtigung des geistigen Eigentums oder anderer kommerzieller oder finanzieller Interessen von CompuGroup Medical Personal oder Einrichtungen oder Dritten.
• Durchführung von Tätigkeiten, die betrügerische finanzielle Transaktionen auslösen könnten.
• Durchführung von Tätigkeiten, die nachteilige Auswirkungen auf CompuGroup Medical, CompuGroup Medical-Kunden, CompuGroup Medical-Mitarbeiter oder den Betrieb von CompuGroup Medical-Software oder -Systemen haben könnten.
• Durchführung von automatisierten Scans (z. B. Nessus, Qualys etc.).
• Weitergabe von Informationen über gemeldete Sicherheitslücken an Dritte ohne vorherige Zustimmung von CompuGroup Medical.

Wir werden keine rechtlichen Schritte gegen jemanden einleiten, der sich nach besten Kräften bemüht, diese Richtlinie einzuhalten. Wir verzichten auch in begrenztem Umfang auf einige Einschränkungen in unseren geltenden Nutzungsbedingungen, die Ihre Teilnahme an dieser Richtlinie verbieten würden, für den begrenzten Zweck der echten Sicherheitsforschung.
CompuGroup Medical autorisiert keine Tests von Produkten, Systemen oder Anwendungen Dritter. Wenn rechtliche Schritte von Dritten gegen Sie aufgrund von Aktivitäten eingeleitet werden, die gemäß dieser Richtlinie durchgeführt wurden, werden wir Schritte unternehmen, um zu verdeutlichen, dass Ihre Handlungen im Einklang mit dieser Richtlinie durchgeführt wurden.

• Es ist möglich, dass Sie unbeabsichtigt auf sensible Daten stoßen, einschließlich persönlicher Informationen oder personenbezogener Daten (so wie diese Begriffe unter geltendem Recht definiert sind), vertraulicher oder firmeneigener Geschäftsdaten oder Finanzinformationen.
• Sobald Sie auf sensible Daten stoßen, müssen Sie Ihre Tätigkeiten sofort einstellen, alle Daten in Ihrer Kontrolle oder Ihrem Besitz löschen und CompuGroup Medical über das Ihnen zur Verfügung stehende HackerOne-Formular melden, was Sie gefunden haben und wie.
• Geben Sie in diesem Bericht nur die Art der identifizierten Informationen an (d. h. geben Sie nicht die spezifischen Daten an, auf die Sie gestoßen sind). Berichte, die die spezifischen Daten enthalten, die Sie gefunden haben, werden geschlossen und es wird keine Belohnung ausgezahlt.

• Sicherheitslücken dürfen nur mithilfe von nicht authentifizierten Methoden oder Standardanmeldeinformationen, bei denen offene Einschreibungen erlaubt sind, ausgenutzt werden.
• Forscher dürfen keine Dienste oder Demonstrationen als Mittel zum Erlangen gültiger Anmeldeinformationen kaufen. Anmeldeinformationen, die gefunden oder anderweitig öffentlich gemacht wurden, sollten als eigene Sicherheitslücke eingereicht werden und nicht zur Sicherheitsforschung verwendet werden.
• Forscher dürfen keine Anmeldeinformationen von anderen gültigen Anmeldeinhabern, insbesondere CompuGroup Medical-Kunden und -Klienten, anfordern und/oder kaufen.

Wenn Sie eine mögliche Sicherheitslücke in einem Produkt, System oder einer Anlage gefunden haben, die Ihrer Meinung nach zu CompuGroup Medical gehört, reichen Sie diese bitte über dieses Programm ein, da wir gerne davon erfahren würden.

Die Verwendung von Sicherheitstestmethoden, die CompuGroup Medical-Systeme stören, beeinträchtigen oder verschlechtern könnten, ist im Rahmen unseres Programms zur Offenlegung von Sicherheitslücken verboten. CompuGroup Medical behält sich in diesen Fällen alle Rechte vor. Zu den Methoden außerhalb des Geltungsbereichs gehören unter anderem:

• Alle Aktivitäten oder Tests, die zu einem Denial-of-Service-(DoS)-Angriff führen oder den Dienst für Benutzer oder Mitarbeiter von CompuGroup Medical beeinträchtigen könnten (z. B. Distributed Denial of Service, DNS Spoofing, Buffer Overflow etc.).
• Social Engineering (z. B. Phishing, Vishing, Smishing etc.).
• Rate-Limiting- oder Brute-Force-Probleme bei nicht authentifizierenden Endpunkten.
• Automatisierte Scanangriffe sind nicht erlaubt (z. B. Nessus, Qualys etc.), jedoch sind die Verwendung von Burp Suite und anderen manuellen Test-Tools gestattet.
• Angriffe, die einen Man-in-the-Middle (MITM) oder physischen Zugang zu einem Benutzergerät erfordern.

Aktivitäten, die Außerrichtliche Domains und/oder Subdomains registriert bei CompuGroup Medical oder einer Tochtergesellschaft betreffen, die jedoch von einem Dritten gehostet werden. Bestimmte Sicherheitslücken gelten als außerhalb des Geltungsbereichs unseres Programms zur Offenlegung von Sicherheitslücken. Außerrichtliche Sicherheitslücken umfassen:

• Denial-of-Service-(DoS)-Angriffe.
• Rate-Limiting- oder Brute-Force-Probleme bei nicht authentifizierenden Endpunkten.
• Angriffe, die MITM oder physischen Zugang zu einem Benutzergerät erfordern.
• Offene Weiterleitungen - es sei denn, es kann eine zusätzliche Sicherheitsauswirkung nachgewiesen werden.
• Probleme, die eine unwahrscheinliche Benutzerinteraktion erfordern.
• Softwareversionsoffenlegung / Banneridentifikationsprobleme / Beschreibende Fehlermeldungen oder Header (z.B. Stack-Traces, Applikations- oder Serverfehler).
• Inhaltsverfälschung und Texteinschleusungsprobleme ohne Angriffsvektor / ohne Möglichkeit zur Modifikation von HTML/CSS.
• Cross-Site-Request-Forgery (CSRF) auf nicht authentifizierten Formularen oder Formularen ohne sensible Aktionen.
• Comma-Separated-Values (CSV)-Einschleusung ohne Nachweis einer Sicherheitslücke.
• Clickjacking auf Seiten ohne sensible Aktionen.
• Sicherheitslücken, die nur Benutzer von veralteten oder ungepatchten Browsern betreffen [Weniger als 2 stabile Versionen hinter der neuesten veröffentlichten stabilen Version].
• Bereits bekannte Schwachstellen in Bibliotheken ohne funktionierenden Proof-of-Concept.
• Fehlende E-Mail-Best-Practices (Ungültige, unvollständige oder fehlende SPF/DKIM/DMARC-Datensätze etc.).
• Fehlende Best-Practices in der TLS-Konfiguration.
• Fehlende Best-Practices in der Content-Security-Policy oder anderen HTTP-Headern.
• Fehlende HttpOnly- oder Secure-Flag bei Cookies, die keine Sitzungs-Cookies sind.

 Wenn Sie der Meinung sind, eine potenzielle Sicherheitslücke gefunden zu haben, reichen Sie diese bitte gemäß den auf dieser Seite beschriebenen Richtlinien unseres Programms zur Offenlegung von Sicherheitslücken ein.

• Zum Schutz unserer Kunden geben wir keine Informationen über Sicherheitsprobleme bekannt, diskutieren sie oder bestätigen sie. Bitte besprechen Sie dieses Programm oder etwaige Sicherheitslücken (auch behobene) nicht außerhalb des Programms ohne ausdrückliche Zustimmung von CompuGroup Medical.
• Im Allgemeinen befolgen Sie bitte die Richtlinien und den Verhaltenskodex von HackerOne, aber alle in dieser Richtlinie festgelegten Bedingungen haben Vorrang vor den HackerOne-Bedingungen.
• Jede unautorisierte öffentliche Bekanntmachung oder Weitergabe einer Sicherheitslücke von CompuGroup Medical wird als Verstoß gegen diese Richtlinie betrachtet.
• Sie sollten niemals illegal oder in schlechter Absicht die Existenz einer Sicherheitslücke oder den Zugang zu sensiblen oder vertraulichen Informationen ausnutzen, wie z. B. durch Erpressungen oder Lösegeldforderungen. Wenn Sie eine Sicherheitslücke finden, melden Sie diese bitte ohne Bedingungen an uns.

CompuGroup Medical arbeitet mit HackerOne zusammen, um verantwortungsvoll eingereichte Schwachstellenberichte zu erhalten. Wie in den HackerOne-Einreichungsanforderungen beschrieben, umfassen Sie bei der Meldung einer potenziellen Sicherheitslücke bitte folgendes:

• Eine detaillierte Zusammenfassung der Sicherheitslücke.
• Zielobjekt, bei dem die Sicherheitslücke gefunden wurde.
• Detaillierte Schritte zur Reproduktion des Problems (Sie können eine Proof-of-Concept-Demo aufzeichnen und über das Einreichungsformular einreichen).
• Verwendete oder erforderliche Werkzeuge.
• Artefakte, die während der Entdeckung verwendet wurden (einschließlich Bildschirmaufnahmen, wenn zutreffend). Stellen Sie sicher, dass Ihr Bericht allen Anforderungen gemäß den HackerOne-Richtlinien zur Offenlegung von Sicherheitslücken entspricht. Berichte müssen über das unten eingebettete HackerOne-Formular eingereicht werden.

CompuGroup Medical führt eigene Scanning- und interne Schwachstellenidentifikationsaktivitäten durch. Um Verwirrung zwischen Ihrem Traffic und legitimen Bedrohungen zu minimieren, verwenden Sie bitte den folgenden Header für Ihre Anfragen, um uns zu ermöglichen, Ihren Traffic zu identifizieren:

• X-HackerOne-Research: <YOUR-USERNAME>

CompuGroup Medical wird sich bemühen, den Eingang von Schwachstellenberichten innerhalb von 3 Werktagen zu bestätigen und Sie über den Status von gemeldeten validierten Sicherheitslücken, die Sie über dieses Programm melden, auf dem Laufenden zu halten.

• Sie müssen die geltenden Bundes-, Landes- und lokalen Gesetze einhalten, wenn Sie Ihre Sicherheitsforschungstätigkeiten durchführen und an diesem Programm teilnehmen, ungeachtet der Safe-Harbor-Bestimmungen von CompuGroup Medical.
• Durch die Teilnahme an diesem Programm stimmen Sie zu, dass Sie Folgendes ohne ausdrückliche schriftliche Zustimmung von CompuGroup Medical, seiner Tochtergesellschaften oder seiner Partner nicht tun werden:
  • Die Handelsnamen, Marken, Dienstleistungsmarken, Symbole, Abkürzungen oder Simulationen von CompuGroup Medical oder eines seiner Tochtergesellschaften oder Partner zu verwenden; oder
  • darzustellen, dass CompuGroup Medical oder eines seiner Tochtergesellschaften oder Partner die von Ihnen erbrachte Dienstleistung oder Arbeit unterstützt hat.
• Durch die Teilnahme an diesem Programm stimmen Sie zu, dass alle Informationen, auf die Sie Zugriff haben, vertraulich sind und Sie diese nicht kopieren, reproduzieren, verkaufen, lizenzieren, vermarkten, übertragen oder anderweitig an Dritte weitergeben oder außerhalb des Programms nutzen.
• Durch die Teilnahme an diesem Programm stimmen Sie zu, dass Sie keine Rechte, Titel oder Eigentumsrechte an den Informationen oder Daten haben, mit denen Sie in Kontakt kommen können.
• Durch die Teilnahme an diesem Programm verstehen Sie, dass CompuGroup Medical nach eigenem Ermessen jederzeit Teile dieser Richtlinie ändern kann.
• Durch die Einreichung eines Berichts über dieses Programm stimmen Sie zu, dass Ihre Informationen in die Europäische Union übertragen und dort von CompuGroup Medical oder seinen Tochtergesellschaften oder Partnern gespeichert werden.
• Ihre Tests dürfen keine Daten, die Ihnen nicht gehören, stören oder gefährden.
• Keine Bestimmung dieser Richtlinie soll als Partnerschaft, Joint Venture, Beschäftigungs- oder Agenturverhältnis zwischen Ihnen und CompuGroup Medical interpretiert werden. Durch die Teilnahme an diesem Programm stimmen Sie zu, dass Sie keine Autorität haben, um Repräsentationen zu machen oder Verpflichtungen für CompuGroup Medical einzugehen.