Responsible disclosure policy

Hintergrund, Geltungsbereich & Zweck

Studio Plopsa misst der Sicherheit seiner Daten und Informationssysteme große Bedeutung bei. Dennoch kann es trotz unserer Bemühungen und Sorgfalt vorkommen, dass Schwachstellen bestehen, die beispielsweise von einem ethischen Hacker oder Informatiker entdeckt werden.

Studio Plopsa hat daher diese Richtlinie zur koordinierten Meldung von Schwachstellen (auch bekannt als „Responsible Disclosure Policy“) eingeführt, damit Personen, die eine Schwachstelle entdecken, uns diese vertraulich und sicher melden können.

Diese Responsible-Disclosure-Richtlinie gilt nur für Systeme und Anwendungen, die Eigentum von Studio Plopsa sind. Sofern nicht ausdrücklich angegeben, sind Drittanbieterdienste, Lieferanten und Partner nicht eingeschlossen. Das Testen solcher Systeme ist streng verboten, es sei denn, Studio Plopsa hat eine ausdrückliche Genehmigung veröffentlicht.

Richtlinienanforderungen

Eine Schwachstelle melden
Responsible Disclosure bedeutet, Schwachstellen auf verantwortungsvolle Weise in gemeinsamer Absprache zwischen Ihnen und Studio Plopsa zu melden. Wenn Sie eine Schwachstelle in einem unserer Systeme entdecken, müssen Sie:

  1. Das Problem melden, indem Sie die unten beschriebenen Informationen über dieses Formular einreichen.
    1. Verfassen Sie Ihre Nachricht auf Englisch.
    2. Erklären Sie das Problem und geben Sie ausreichend Details an, damit wir das Problem identifizieren und/oder reproduzieren können, um es so schnell wie möglich zu beheben.
    3. Geben Sie zusätzliche Informationen wie IP-Adressen, URLs des betroffenen Systems, Screenshots usw. an.
  2. Hinterlassen Sie Ihre Kontaktdaten, damit Studio Plopsa Sie bei Bedarf kontaktieren kann, um gemeinsam an einer Lösung zu arbeiten. Geben Sie mindestens Ihren Namen, Ihre E-Mail-Adresse und/oder Telefonnummer an. Eine Meldung unter Pseudonym ist möglich, stellen Sie jedoch sicher, dass wir Sie kontaktieren können, falls wir zusätzliche Fragen haben.

Do’s und Don’ts

Geben Sie keine Informationen über die Sicherheitslücke über andere Kanäle weiter
Teilen Sie keine Informationen über die Schwachstelle mit Dritten, weder vor noch nach der Meldung an Studio Plopsa oder nach Behebung des Problems. Ein solches Verhalten wird als unverantwortlich angesehen und kann zivilrechtliche Schritte nach sich ziehen. Wenn Sie nach der Behebung der Schwachstelle Informationen veröffentlichen möchten, bitten wir Sie, uns mindestens einen Monat vorher zu benachrichtigen und uns die Möglichkeit zu geben, zu reagieren. Die Nennung von Studio Plopsa in einer Veröffentlichung ist nur nach ausdrücklicher Genehmigung zulässig.

Nutzen Sie die gefundene Schwachstelle nicht missbräuchlich
Handlungen im Rahmen dieser Responsible Disclosure Policy sollten sich auf Tests zur Identifizierung potenzieller Schwachstellen beschränken und die Informationen mit Studio Plopsa teilen:

  • Führen Sie keine Aktionen aus, die nicht unbedingt erforderlich sind, um eine potenzielle Schwachstelle zu erkennen oder zu melden.
  • Sammeln Sie nur die Informationen, die notwendig sind, um uns zu informieren.
  • Kopieren, löschen, ansehen oder ändern Sie keine Daten von Studio Plopsa.

Führen Sie keine Aktionen aus, die die ordnungsgemäße Funktion unserer Systeme beeinträchtigen könnten – weder in Bezug auf Verfügbarkeit und Leistung noch in Bezug auf Vertraulichkeit und Integrität der Daten. Es ist daher z. B. nicht erlaubt, die folgenden Aktionen durchzuführen (nicht abschließend): Installation von Malware; Kopieren, Ändern oder Löschen von Daten in einem System; Änderungen am System; Einsatz von Brute-Force-Techniken zum Zugriff auf ein System; (Distributed) Denial-of-Service-Angriffe.

Verwenden Sie keine Angriffsmethoden, die die physische Sicherheit unserer Gebäude und Einrichtungen testen

Verwenden Sie keine Angriffsmethoden, die auf unsere Mitarbeiter abzielen (z. B. über Phishing oder andere Social-Engineering-Techniken)

Bei Zweifeln zur Anwendbarkeit dieser Richtlinie kontaktieren Sie uns bitte zunächst über das oben genannte Kontaktformular, um eine ausdrückliche Genehmigung zu erhalten.

Was wir versprechen

  • Wir werden innerhalb von 10 Arbeitstagen auf Ihre Meldung reagieren, mit unserer Bewertung des Berichts und einem voraussichtlichen Behebungsdatum. Wir bemühen uns, alle Probleme schnell zu lösen.
  • Wir werden Sie erneut kontaktieren, falls wir zusätzliche Informationen benötigen.
  • Wir informieren Sie über den Fortschritt bei der Behebung des gemeldeten Problems.
  • Wir danken Ihnen für jede Meldung einer Sicherheitslücke, und falls diese Schwachstelle uns bisher nicht bekannt war, bieten wir Ihnen an, in unserer Responsible Disclosure Hall of Fame erwähnt zu werden. Eine andere Form der Vergütung wird nicht angeboten.
  • Wir behandeln Ihre Meldung vertraulich und geben Ihre persönlichen Daten ohne Ihre Zustimmung nicht an Dritte weiter, es sei denn, dies ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich.

Weitere Überlegungen

Wir behalten uns das Recht vor, Meldungen von geringer Qualität zu ignorieren, einschließlich Meldungen über Schwachstellen, die aus Risikoperspektive vernachlässigbar sind.
Wenn Sie eine Schwachstelle entdecken, aber die oben genannten Regeln zur Responsible Disclosure nicht einhalten, behalten wir uns das Recht vor, Maßnahmen oder rechtliche Schritte einzuleiten und/oder den Vorfall der Polizei zu melden.

Wir behalten uns das Recht vor, den Inhalt dieser Richtlinie jederzeit zu ändern oder die Richtlinie zu beenden.

Rechtliche Absicherung

Wenn Sie diese Richtlinie einhalten und in gutem Glauben handeln:

  • Wird Studio Plopsa keine rechtlichen Schritte gegen Sie einleiten.
  • Betrachten wir Ihre Forschung als autorisiert nach geltendem Recht, einschließlich des Computer Misuse Act, DSGVO und relevanter belgischer/EU-Cybersicherheitsgesetze.
  • Arbeiten wir mit Ihnen zusammen, um Missverständnisse zu klären und Probleme schnell zu lösen.

Hinweis: Rechtlicher Schutz erstreckt sich nicht auf Handlungen, die vorsätzlich die Vertraulichkeit von Daten, die Systemverfügbarkeit oder die operative Kontinuität gefährden. Wir behalten uns das Recht vor, jede Handlung, die nicht mit dieser Richtlinie übereinstimmt, den örtlichen Behörden zu melden.

Wenn Sie diese Richtlinie einhalten, gilt Ihre Sicherheitsforschung nach belgischem Recht und EU-Richtlinien, einschließlich NIS2, als autorisiert. Studio Plopsa wird keine rechtlichen Schritte gegen Sie einleiten und Ihre Handlungen nicht an die Strafverfolgungsbehörden weiterleiten, solange Sie innerhalb des Anwendungsbereichs bleiben und keine absichtlichen Schäden verursachen.