Politik zur verantwortungsvollen Offenlegung von Sicherheitslücken bei One Click Actions

Letzte Aktualisierung: 6. November 2024

Die Sicherheit unserer Plattform und der Schutz der Daten unserer Kunden haben für One Click Actions höchste Priorität. Wir wissen, dass die Entdeckung und Meldung von Sicherheitslücken durch die Sicherheitsgemeinschaft eine wertvolle Unterstützung darstellt, und begrüßen eine verantwortungsvolle Offenlegung. Diese Richtlinie bietet einen strukturierten Rahmen für das Melden und Bearbeiten von Sicherheitslücken, um die Sicherheit unserer Plattform zu verbessern.

1. Ziel der Richtlinie

Diese Richtlinie soll die Sicherheit unserer Systeme verbessern, indem sie externen Sicherheitsforschern und Nutzern einen klaren und respektvollen Weg zur Meldung von Sicherheitslücken bietet. Eine verantwortungsvolle Offenlegung ermöglicht uns, Schwachstellen schnell und effizient zu beheben, bevor sie potenziell ausgenutzt werden können.

2. Anwendungsbereich

Diese Richtlinie gilt für alle Systeme, Dienste und Domains, die im Besitz von One Click Actions sind oder von uns betrieben werden. Sie richtet sich an externe Sicherheitsforscher und unsere Nutzergemeinschaft, die Schwachstellen in unseren Systemen entdecken und uns sicher melden möchten.

3. Verantwortungsvolle Offenlegung

One Click Actions fordert alle Forscher und Nutzer auf, Sicherheitslücken verantwortungsbewusst zu melden und nicht ohne Genehmigung zu veröffentlichen. Verantwortungsvolle Offenlegung bedeutet:

  • Sofortige Meldung: Sobald eine Schwachstelle identifiziert wird, sollte diese direkt an uns gemeldet werden, ohne dass Dritte davon erfahren.
  • Verzicht auf Missbrauch: Sicherheitslücken dürfen nicht ausgenutzt werden, und es dürfen keine weiteren Versuche unternommen werden, auf unsere Systeme zuzugreifen oder Änderungen vorzunehmen.
  • Vertraulichkeit wahren: Die entdeckte Schwachstelle sollte erst dann veröffentlicht werden, wenn wir sie vollständig behoben haben und die Freigabe der Informationen genehmigen.

4. Meldeverfahren für Sicherheitslücken

Um eine Sicherheitslücke zu melden, folgen Sie bitte diesen Schritten:

  1. Senden Sie einen Bericht an unser Sicherheitsteam: Die Meldung kann per E-Mail an security@oneclickactions.com gesendet werden.
  2. Erstellen Sie einen detaillierten Bericht: Der Bericht sollte Folgendes enthalten:
    • Eine Beschreibung der Schwachstelle mit allen relevanten Details.
    • Schritte zur Reproduktion der Schwachstelle, einschließlich etwaiger Screenshots, Codebeispiele oder Videoaufnahmen.
    • Hinweise zur betroffenen Komponente, ob Website, API oder anderer Service.
  3. Bestätigung und Rückmeldung: Nach Eingang Ihrer Meldung werden wir den Empfang innerhalb von 3 Werktagen bestätigen und, falls erforderlich, zusätzliche Informationen anfordern. Unser Sicherheitsteam bewertet die Schwere der Sicherheitslücke und plant die notwendigen Schritte zur Behebung.

5. Verantwortungsvolle Verhaltensweisen bei Sicherheitsuntersuchungen

Wir bitten alle Forscher, während der Sicherheitsuntersuchungen die folgenden Punkte zu beachten:

  • Keine Datenveränderung: Daten von uns oder unseren Nutzern dürfen nicht gelöscht, verändert oder zugänglich gemacht werden, um die Privatsphäre und Sicherheit aller Benutzer zu schützen.
  • Kein Denial-of-Service (DoS): Tests, die Systeme überlasten oder den regulären Betrieb stören, sind nicht gestattet.
  • Nur autorisierte Bereiche: Führen Sie keine Tests auf Systeme durch, die nicht ausdrücklich zur Untersuchung freigegeben sind.

6. Ermutigung und Anerkennung für verantwortungsvolle Meldungen

One Click Actions schätzt die Unterstützung der Sicherheitsgemeinschaft. Wir erkennen die Beiträge von Sicherheitsforschern öffentlich an und würdigen sie wie folgt:

  • Öffentliche Anerkennung: Wenn Sie eine Schwachstelle verantwortungsbewusst melden, können Sie, mit Ihrer Zustimmung, auf unserer Seite „Ehrenliste“ als anerkannter Sicherheitsforscher aufgeführt werden.
  • Bestätigung der Meldung: Wir stellen Ihnen ein offizielles Dankesschreiben oder Zertifikat aus, das Ihr Engagement für die Sicherheit unserer Plattform dokumentiert.

Bitte beachten Sie, dass dieses Programm keine finanzielle Entlohnung oder Belohnung für die Meldung von Sicherheitslücken vorsieht.

7. Haftungsausschluss und rechtliche Aspekte

One Click Actions wird keine rechtlichen Schritte gegen Forscher einleiten, die sich an diese Richtlinie halten und Sicherheitslücken verantwortungsvoll melden. Wir behalten uns jedoch das Recht vor, Maßnahmen gegen Personen zu ergreifen, die:

  • Sicherheitslücken missbräuchlich ausnutzen oder Daten unerlaubt verändern.
  • Ohne Einwilligung und verantwortungsbewusste Kommunikation sensible Informationen veröffentlichen.

Durch die Teilnahme an der verantwortungsvollen Offenlegung bestätigen Sie, dass Sie diese Bedingungen gelesen haben und zustimmen, alle beschriebenen Regeln einzuhalten.

One Click Actions dankt Ihnen für Ihr Engagement zur Verbesserung der Sicherheit unserer Plattform. Wir freuen uns auf eine positive Zusammenarbeit und ein gemeinsames Ziel, unsere Systeme und die Daten unserer Nutzer zu schützen.