Richtlinie zur Offenlegung von Sicherheitslücken – Airportr Technologies
Bei Airportr haben die Sicherheit unserer Systeme sowie der Schutz der Daten unserer Kunden höchste Priorität. Wir schätzen die Beiträge der Sicherheits-Community, die uns dabei unterstützen, einen sicheren und vertrauenswürdigen Service zu gewährleisten.
Diese Richtlinie beschreibt, wie Sie potenzielle Sicherheitsprobleme in unseren Systemen verantwortungsbewusst melden können.
Meldung einer Sicherheitslücke
Wenn Sie glauben, eine Sicherheitslücke in einem System, Dienst oder einer Anwendung von Airportr entdeckt zu haben, kontaktieren Sie uns bitte unter:
E-Mail: security@portr.com
Wenn Sie einen Bericht einreichen, geben Sie bitte so viele Details wie möglich an, damit wir den Fall schnell untersuchen können, zum Beispiel:
- Eine detaillierte Beschreibung der Sicherheitslücke.
- Schritte zur Reproduktion des Problems (ggf. mit Proof of Concept).
- Eine Einschätzung der potenziellen Auswirkungen der Sicherheitslücke.
- Ihre Kontaktdaten (falls Sie über den Fortschritt informiert werden möchten).
Unsere Verpflichtung Ihnen gegenüber
- Wir bestätigen den Eingang Ihrer Meldung innerhalb von drei Werktagen.
- Wir untersuchen den Sachverhalt und informieren Sie innerhalb von zehn Werktagen über den aktuellen Status.
- Wir halten Sie über unsere Fortschritte bei der Behebung des Problems auf dem Laufenden.
- Wir leiten keine rechtlichen Schritte gegen Forscher ein, die in gutem Glauben und gemäß dieser Richtlinie handeln.
- Mit Ihrer Zustimmung werden wir Ihren Beitrag nach Behebung des Problems öffentlich anerkennen.
Richtlinien für eine verantwortungsvolle Offenlegung
Zum Schutz unserer Kunden und Systeme bitten wir Sie:
- den Zugriff auf, die Änderung oder Löschung von Daten zu unterlassen, die Ihnen nicht gehören.
- Handlungen zu vermeiden, die unsere Dienste beeinträchtigen oder stören könnten.
- uns ausreichend Zeit zu gewähren, das Problem zu untersuchen und zu beheben, bevor Sie Informationen über die Sicherheitslücke öffentlich bekannt geben.
Die Nichteinhaltung dieser Richtlinien kann als Verstoß gegen die Grundsätze verantwortungsvoller Sicherheitsforschung gewertet werden.
Anerkennung
Wir schätzen das Engagement von Sicherheitsforschern sehr und werden – mit Ihrer Zustimmung – verifizierte und aussagekräftige Berichte öffentlich anerkennen.
Zukünftiges Bug-Bounty-Programm
Airportr prüft derzeit die Einführung eines formellen Bug-Bounty-Programms. Auch wenn wir aktuell keine finanziellen Belohnungen anbieten, sind wir offen für Gespräche über alternative Formen der Anerkennung oder eine mögliche zukünftige Zusammenarbeit mit Sicherheitsforschern, die uns beim Schutz unserer Systeme unterstützen.