Information!

Sicherheitsrichtlinie (Security Policy)

Bei mindtwo nehmen wir die Sicherheit unserer Systeme und Kundendaten sehr ernst. Wir schätzen die Zusammenarbeit mit der Sicherheitsforschungsgemeinschaft und sind dankbar für Hinweise auf mögliche Sicherheitslücken. Diese Richtlinie beschreibt, wie Sie Sicherheitsprobleme verantwortungsvoll melden können und wie wir mit Ihren Meldungen umgehen.

Meldung von Sicherheitslücken

Wenn Sie eine Sicherheitslücke in unseren Systemen oder Diensten entdecken, bitten wir Sie, uns diese vertraulich mitzuteilen:

E-Mail:
PGP-Verschlüsselung: Unser öffentlicher PGP-Schlüssel ist verfügbar unter https://www.mindtwo.ch/pgp-key.txt

Informationen, die wir benötigen

Um Ihre Meldung effizient bearbeiten zu können, bitten wir Sie, folgende Informationen bereitzustellen:

  1. Detaillierte Beschreibung der Sicherheitslücke
  2. Schritte zur Reproduktion des Problems
  3. Betroffene Systeme oder URLs
  4. Potenzielle Auswirkungen der Sicherheitslücke
  5. Mögliche Lösungsansätze (falls bekannt)
  6. Ihre Kontaktinformationen für Rückfragen

Unser Prozess

Nach Erhalt Ihrer Meldung werden wir:

  1. Bestätigung: Innerhalb von 48 Stunden den Eingang Ihrer Meldung bestätigen
  2. Bewertung: Die gemeldete Sicherheitslücke analysieren und bewerten
  3. Kommunikation: Sie über den Fortschritt auf dem Laufenden halten
  4. Behebung: Bei Bestätigung der Sicherheitslücke diese so schnell wie möglich beheben
  5. Veröffentlichung: Nach Behebung des Problems und in Absprache mit Ihnen die Informationen veröffentlichen

Unsere Zusagen

  • Wir werden Ihre Meldung vertraulich behandeln
  • Wir werden Sie über den Fortschritt bei der Behebung des Problems informieren
  • Wir werden Ihre Unterstützung angemessen anerkennen (mit Ihrer Zustimmung)
  • Wir werden keine rechtlichen Schritte gegen Sie einleiten, wenn Sie diese Richtlinie befolgen

Erlaubte Aktivitäten

Die folgenden Aktivitäten sind im Rahmen der Sicherheitsforschung erlaubt:

  • Testen unserer öffentlich zugänglichen Websites und Anwendungen
  • Melden von Sicherheitslücken über die angegebenen Kanäle
  • Bereitstellen von ausreichenden Informationen zur Reproduktion und Behebung des Problems

Nicht erlaubte Aktivitäten

Die folgenden Aktivitäten sind nicht erlaubt:

  • Denial-of-Service-Angriffe
  • Soziale Manipulation (Social Engineering) unserer Mitarbeiter oder Kunden
  • Physischer Zugriff auf unsere Einrichtungen oder Infrastruktur
  • Zugriff auf, Änderung oder Löschung von Daten
  • Testen von Systemen oder Anwendungen Dritter, die von uns gehostet werden
  • Automatisierte Tests, die zu einer übermäßigen Belastung unserer Systeme führen könnten

Anerkennung

Wir schätzen die Arbeit von Sicherheitsforschern und möchten ihre Beiträge anerkennen. Mit Ihrer Zustimmung werden wir Sie in unserer Hall of Fame aufnehmen.

Belohnungsprogramm

Derzeit bieten wir kein formelles Bug-Bounty-Programm an. Wir behalten uns jedoch vor, besonders wertvolle Beiträge nach unserem Ermessen zu honorieren.

Kontakt

Bei Fragen zu dieser Sicherheitsrichtlinie wenden Sie sich bitte an

Letzte Aktualisierung: 29.04.2025

Erstgespräch vereinbaren

Vereinbaren Sie einen unverbindlichen und kostenlosen Beratungstermin und stellen Sie uns Ihr Projekt vor.

Kostenloses Erstgespräch

mindtwo Management