Richtlinie zur verantwortungsvollen Offenlegung

 

Der Zweck dieser Richtlinie besteht darin, die Verfahren für die Meldung und Behebung von Schwachstellen in unseren Produkten zu beschreiben. Diese Richtlinie zielt darauf ab, sicherzustellen, dass unsere Produkte sicher sind und die Privatsphäre unserer Kunden schützen.

Prozess der Berichterstattung

Sicherheitsforscher oder Personen, die eine Schwachstelle im Zusammenhang mit Brivo entdecken, sollten uns unter security@brivo.com kontaktieren, um die Schwachstelle zu melden. Brivo wird den Eingang der Meldung innerhalb von 5 Werktagen bestätigen und bestätigen, dass wir die Meldung erhalten haben. Brivo wird die gemeldete Schwachstelle untersuchen und ihr Vorhandensein und ihren Schweregrad überprüfen. Brivo wird dem Meldenden ein Update über den Stand der Untersuchung und alle Maßnahmen zukommen lassen, die wir ergreifen, um die Sicherheitslücke zu beheben.

Brivo wird die Offenlegung überprüfen und den Schweregrad beurteilen. Die Klassifizierung des Schweregrads liegt im alleinigen Ermessen der Brivo Engineering- und Security Operations-Teams. Je nach Schweregrad wird ein Zeitplan für die Behebung zugewiesen. Brivo wird die Schwachstelle und den Fix öffentlich bekannt geben, sobald er implementiert wurde.

Brivo wird die Vertraulichkeit der Identität des Meldenden und aller Informationen, die während des Offenlegungsprozesses zur Verfügung gestellt werden, wahren.

Meldungen an security@brivo.com werden adressiert, wenn sie mit folgenden Angaben eingereicht werden:

  • Name und Version der Website, der Anwendung oder des Produkts (falls zutreffend)
  • Beschreibung der Schwachstelle
  • Schritte zum Reproduzieren der Sicherheitsanfälligkeit
  • Alle relevanten Proof-of-Concept-Codes oder Screenshots
  • Die Berichte sollten in englischer Sprache eingereicht werden.

Wir haben kein Belohnungsprogramm, aber wir werden Personen oder Organisationen, die uns Sicherheitsprobleme gemeldet haben, in unseren veröffentlichten Sicherheitshinweisen oder Versionshinweisen öffentlich erwähnen (sofern nicht anders angefordert).

Nichteinhaltung

Die öffentliche Offenlegung der Einreichungsdetails zu identifizierten oder angeblichen Schwachstellen ohne die ausdrückliche schriftliche Zustimmung von Brivo gilt als nicht konform mit dieser Richtlinie

Darüber hinaus ist es Ihnen untersagt:

  • Tests in einer Weise, die den Betrieb von Brivo-Systemen beeinträchtigen würde
  • Zugriff, Herunterladen, Löschen oder Ändern von Daten, die sich in einem Konto befinden, das Ihnen nicht gehört
  • Ausführen oder Versuch der Ausführung eines "Denial-of-Service"-Angriffs
  • Veröffentlichen, Übertragen, Hochladen, Verlinken, Senden oder Speichern von bösartiger Software
  • Testen in einer Weise, die dazu führen würde, dass unerwünschte oder nicht autorisierte Nachrichten gesendet werden
  • Testen von Anwendungen, Websites oder Diensten von Drittanbietern, die sich in das Brivo-System integrieren lassen oder mit dem Brivo-System verknüpft sind.
  • Durchführung jeglicher Art von physischem oder elektronischem Angriff auf Personal, Eigentum oder Standorte von Brivo.