Richtlinie zur Offenlegung von Sicherheitslücken
Wir setzen Technologie und Innovation in den Dienst des Menschen, wir betrachten die Sicherheit und Sicherheit unserer Mitglieder und Kunden als eine unserer wichtigsten Prioritäten.
Wir setzen alles daran, die höchste Qualität und Sicherheit unserer Produkte von der Konzeption an zu gewährleisten. Trotz all unserer Bemühungen können jedoch Sicherheitslücken vorhanden sein.
Aus diesem Grund verfolgt CIC eine Politik der Offenlegung von Sicherheitslücken. In dieser Richtlinie werden die Mitteilung über die Meldung potenzieller Schwachstellen in Abteilungen sowie die Methode zur Behandlung dieser Meldungen erläutert.
Der Eingangspunkt für diese Meldungen ist "Computer Emergency Response Team (CERT) CM-EI" sein.
CIC dankt Ihnen für Ihre Meldung und den Beitrag zur Sicherheit der von Ihr vertretenen Menschen.
Wie kann eine potenzielle Sicherheitslücke gemeldet werden?
Um eine Sicherheitslücke zu melden, senden Sie uns bitte eine Nachricht über folgendes Formular. Zur Verbesserung der Behandlung und Identifizierung von Sicherheitslücken geben So bitte möglichst viele Informationen in das Anmeldeformular ein.
Aus Sicherheitsgründen wird der komplette folgende Austausch mit PGP verschlüsselt.
Um uns verschlüsselte Mitteilungen zu senden, können Sie PGP-Schlüsselauf der Crédit Mutuel Website Verwenden.
Die Bearbeitung Ihrer Meldung
Im Anschluss an Ihre Meldung werden unsere Teams deren Inhalt analysieren, um die Einstufung als Schwachstelle so schnell wie möglich zu bestätigen. Wir werden Sie nur dann kontaktieren, wenn weitere Informationen erforderlich sind.
Außerdem:
- Im Rahmen dieses Programms ist keine Belohnung vorgesehen, auch wenn die Schwachstelle bekannt ist;
- Aus Sicherheitsgründen werden Sicherheitslücken und deren Lösung nicht veröffentlicht.
CIC entscheidet nach wie vor allein über die Einstufung der Sicherheitslücke und die daraus resultierende Risikokategorisierung. Bearbeitung und Bearbeitungsdauer einer Schwachstelle liegen im Ermessen von CIC.
Offenlegungsanforderungen
Wenn Sie CIC eine Sicherheitslücke melden, sind Sie verpflichtet:
- Geltende Gesetze einzuhalten;
- Keine DDOS- oder Ressourcenauslastungsangriffe durchzuführen;
- Das CIC-System nur so zu nutzen, dass Sie dem Konzern, seinen Kunden, Mitarbeitern oder Dritten nicht schaden;
- Keine Daten zu verwenden, ändern oder zu löschen, auf die Sie zugreifen können, indem Sie die Sicherheitslücke ausnutzen;
- Keine Social Engineering, Spam oder Phishing-Angriffe auf Mitarbeiter bei CIC oder deren vertrauenswürdigen Kunden oder Partnern auszuführen;
- Die physische Sicherheit des CIC Netzwerks oder seiner Kunden nicht zu testen;
- Keine Angaben zu dieser Meldung, der gemeldeten Sicherheitslücke oder der Tatsache, dass in CIC eine Sicherheitslücke gemeldet wurde, zu veröffentlichen.
Diese Verpflichtung zur Nichtveröffentlichung gilt unabhängig davon, ob CIC die Informationen zuvor erhalten hat oder nicht.
Alle Aspekte dieses Prozesses können ohne Vorankündigung geändert werden.
Die Meldung einer Sicherheitslücke gibt Ihnen keine Rechte an geistigem Eigentum von CIC, dessen Kunden oder Partnern.