RESPONSIBLE DISCLOSURE POLICY
Einleitung
Transatel verpflichtet sich, die Verfügbarkeit, Integrität, Vertraulichkeit und Nachverfolgbarkeit der ihm anvertrauten Informationen zu gewährleisten.
Sollte jedoch eine Sicherheitslücke, Schwachstelle oder ein Datenleck im Zusammenhang mit Transatel entdeckt werden, beschreibt diese Seite unsere Richtlinien zur verantwortungsvollen Offenlegung (Responsible Disclosure Policy) für den Umgang mit Meldungen über Schwachstellen, um uns über entsprechende Probleme zu informieren.
Alle Meldungen sind willkommen – unabhängig davon, ob Sie Sicherheitsforscher, Entwickler, Kunde oder Privatperson sind –, sofern Sie die folgenden Bedingungen einhalten:
Sollte jedoch eine Sicherheitslücke, Schwachstelle oder ein Datenleck im Zusammenhang mit Transatel entdeckt werden, beschreibt diese Seite unsere Richtlinien zur verantwortungsvollen Offenlegung (Responsible Disclosure Policy) für den Umgang mit Meldungen über Schwachstellen, um uns über entsprechende Probleme zu informieren.
Alle Meldungen sind willkommen – unabhängig davon, ob Sie Sicherheitsforscher, Entwickler, Kunde oder Privatperson sind –, sofern Sie die folgenden Bedingungen einhalten:
Bedingungen
- Halten Sie Informationen über entdeckte Schwachstellen vertraulich.
- Verwenden Sie keine automatisierten Tools oder Angriffsmethoden wie Social Engineering (Phishing, Betrug usw.), Denial-of-Service-Angriffe (DoS, DDoS), Spam, Betrugsversuche oder physische Sicherheitsangriffe.
- Nutzen Sie Schwachstellen nicht über das notwendige Maß hinaus aus, beispielsweise durch das Herunterladen größerer Datenmengen als erforderlich oder durch die Beeinträchtigung der Datenintegrität Dritter.
- Stellen Sie uns eine Möglichkeit zur Kontaktaufnahme zur Verfügung, wenn Sie über den Ausgang der Meldung informiert werden möchten.
- Senden Sie die Ergebnisse per E-Mail an security-disclosure[at]transatel.com (Diese Adresse dient ausschließlich der Meldung von Schwachstellen; andere Anfragen werden nicht bearbeitet.)
- Alternativ können Sie gemäß Artikel 47 des französischen Gesetzes für eine digitale Republik CERT-FR als zuständige Behörde kontaktieren: cert-fr[at]ssi.gouv.fr
- Verstoßen Sie nicht gegen Gesetze oder Vorschriften, die über das hinausgehen, was ausdrücklich durch diese Richtlinie abgedeckt ist.
- Akzeptieren Sie unsere Datenschutzrichtlinie vorbehaltlos, damit Ihre Meldung bearbeitet werden kann.
In Ihrer Meldung
- Anonymisieren Sie personenbezogene Daten.
- Geben Sie alle notwendigen Details an, um das Sicherheitsproblem reproduzieren oder überprüfen zu können (IP-Adresse, URL, Beschreibung der Schwachstelle, OWASP-, CVE- oder ATT&CK-Referenz), Screenshots sowie eine Liste der betroffenen Produkte und Dienste.
- Falls zutreffend, geben Sie Details zu eventuell erstellten Testkonten an.
Bearbeitung und Vertraulichkeit
Nach Eingang wird Ihre Meldung so schnell wie möglich vom Sicherheitsteam geprüft.
Wir versichern Ihnen, dass Ihre Meldung vertraulich behandelt wird, vorbehaltlich regulatorischer und gesetzlicher Anforderungen.
Die Teilnahme am Meldeverfahren begründet keinerlei Rechte an geistigem Eigentum.
Werden Schwachstellen entdeckt und in Übereinstimmung mit unserer Responsible Disclosure Policy gemeldet, werden keine rechtlichen Schritte gegen die meldenden Personen eingeleitet. Im Falle von Verstößen gegen diese Richtlinie behalten wir uns jedoch alle rechtlichen Schritte vor.
Abschließend weisen wir darauf hin, dass wir derzeit kein Bug-Bounty-Programm anbieten oder daran teilnehmen.
Wir versichern Ihnen, dass Ihre Meldung vertraulich behandelt wird, vorbehaltlich regulatorischer und gesetzlicher Anforderungen.
Die Teilnahme am Meldeverfahren begründet keinerlei Rechte an geistigem Eigentum.
Werden Schwachstellen entdeckt und in Übereinstimmung mit unserer Responsible Disclosure Policy gemeldet, werden keine rechtlichen Schritte gegen die meldenden Personen eingeleitet. Im Falle von Verstößen gegen diese Richtlinie behalten wir uns jedoch alle rechtlichen Schritte vor.
Abschließend weisen wir darauf hin, dass wir derzeit kein Bug-Bounty-Programm anbieten oder daran teilnehmen.