Responsible Disclosure

Bei Portbase hat die Sicherheit unserer Systeme höchste Priorität. Trotz unserer Bemühungen, unsere Systeme sicher zu halten, können Schwachstellen auftreten. Schließlich ändern sich digitale Technologien und Erkenntnisse täglich. Sollten Sie eine Schwachstelle in unseren Systemen entdecken, würden wir uns freuen, wenn Sie uns dies mitteilen. Auf diese Weise können wir sofort geeignete Maßnahmen ergreifen und eine sichere digitale Umgebung für unsere Kunden und uns gewährleisten.

Wir bitten Sie:
  • Senden Sie Ihre Erkenntnisse per E-Mail an security@portbase.com. Sichern oder verschlüsseln Sie Ihre Erkenntnisse, damit die Informationen nicht in die falschen Hände geraten;
  • Mit der gefundenen Schwachstelle verantwortungsvoll umzugehen und sie in keiner Weise zu missbrauchen, indem Sie beispielsweise nicht mehr Daten als nötig herunterladen und keine Daten Dritter einsehen, löschen oder verändern;
  • Ihre Erkenntnisse nicht an andere weiterzugeben, bis die Schwachstelle behoben ist, und alle vertraulichen Daten, die durch die Sicherheitslücke erlangt wurden, sofort nach deren Behebung zu löschen;
  • keine physischen Sicherheitsangriffe, Social Engineering, Distributed Denial of Service, Spam oder Anwendungen Dritter zu verwenden; und;
  • Stellen Sie ausreichende Informationen zur Verfügung, um das Problem zu reproduzieren, damit wir es so schnell wie möglich beheben können. In der Regel reichen die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schwachstelle aus, aber bei komplexeren Schwachstellen können weitere Informationen erforderlich sein;
  • Geben Sie genügend Details an, damit wir Sie kontaktieren können. Bitte geben Sie mindestens Ihre E-Mail-Adresse und vorzugsweise Ihre Telefonnummer an. Wir werden Ihre Daten vertraulich behandeln.
Was wir versprechen:
  • Wir antworten innerhalb von drei (3) Arbeitstagen auf Ihre Meldung mit einer Empfangsbestätigung. Wir werden innerhalb von dreißig (30) Arbeitstagen auf den Inhalt Ihrer Meldung antworten. Diese inhaltliche Mitteilung gibt auch Aufschluss über den voraussichtlichen Lösungstermin.
  • Wir behandeln Ihre Meldung vertraulich und geben Ihre personenbezogenen Daten nicht ohne Ihre Zustimmung an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich. Die Meldung unter einem Pseudonym ist möglich.
  • keine rechtlichen Schritte gegen Sie aufgrund Ihrer Meldung einleiten, wenn Sie die vorgenannten Bedingungen erfüllt haben.
  • Sie auf Wunsch über den Fortschritt der Lösung auf dem Laufenden halten.
  • Bei der Meldung des gemeldeten Problems werden wir, falls gewünscht, Ihren Namen als Entdecker erwähnen.
  • Um Ihnen für Ihre Hilfe zu danken, bieten wir Ihnen für jede Meldung eines uns noch unbekannten Sicherheitsproblems eine spielerische/angemessene Belohnung. Die Höhe der Belohnung richtet sich nach der Schwere des Lecks und der Qualität der Meldung.

Wir bemühen uns, alle Probleme so schnell wie möglich zu lösen, und würden uns freuen, wenn wir nach der Lösung des Problems an einer Veröffentlichung darüber beteiligt werden.

Diese verantwortungsvolle Veröffentlichungspolitik basiert auf einem von Floor Terra verfassten Beispiel und den Offenlegungsrichtlinien des NCSCs.

© Portbase, version August 2024