Zweck

Die Securitas Gruppe Schweiz und ihre Gruppengesellschaften, nachfolgend “SSG”, verpflichten uns, die Sicherheit und den Datenschutz unserer Systeme zu gewährleisten. Wir erkennen die wichtige Rolle an, die unabhängige Sicherheitsforscher bei der Aufrechterhaltung der Sicherheit unseres Ökosystems spielen, und wir unterstützen die verantwortungsvolle Meldung von Schwachstellen.

Geltungsbereich

Diese Richtlinien gelten für alle Webpräsenzen, Dienste und Systeme, die der SSG gehören, von uns geliefert oder betrieben werden. Schwachstellen in Anwendungen von Drittanbietern, benutzerkonfigurierten Systemen oder Diensten, die nicht unter unserer Kontrolle stehen, liegen ausserhalb des Geltungsbereichs.

Anleitung für die Berichterstattung

Um potenzielle Risiken sowie mögliche zivil- und strafrechtliche Konsequenzen zu minimieren, bitten wir Sie, bei der Meldung einer Schwachstelle die folgenden Regeln zu befolgen:

  • Informieren Sie uns so rasch wie möglich, wenn Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt haben.
  • Geben Sie während des koordinierten Offenlegungsprozesses die von Ihnen entdeckte Sicherheitslücke nicht an andere weiter und erörtern Sie sie ausschliesslich mit dem betroffenen Anbieter, dem jeweiligen Systembesitzer und der SSG.
  • Geben Sie die Schwachstelle nicht öffentlich bekannt, bevor die SSG eine angemessene Gelegenheit hatte, das Problem zu beheben.
  • Sobald Sie eine Schwachstelle an die SSG gemeldet haben, interagieren Sie während des koordinierten Offenlegungsprozesses nicht wiederholt mit dem betroffenen System.
  • Nutzen Sie Schwachstellen nicht, um über die für die Meldung der Schwachstelle erforderlichen Mindestmassnahmen hinaus auf Daten zuzugreifen, sie zu ändern oder zu löschen.
  • Versuchen Sie nicht, Berechtigungen zu erhöhen oder ein System über das für die Meldung der Schwachstelle erforderliche Mindestmass hinaus zu untersuchen.
  • Führen Sie keine Denial-of-Service-, Social-Engineering- oder Brute-Force-Angriffe durch und schleusen Sie keine Malware ein.
  • Stellen Sie uns eine detaillierte Beschreibung und eine klare und präzise Schritt-für-Schritt-Anleitung in englischer Sprache zur Verfügung, um eine Reproduktion der Sicherheitslücke zu ermöglichen. Geben Sie nach Möglichkeit an, welche IP-Adressen Sie verwendet haben, als Sie die Schwachstelle entdeckten. Dies hilft bei der Bewertung potenzieller Ausnutzungen und der Reduzierung falsch-positive Alarme.
  • Teilen Sie der SSG mit, wenn Sie die Absicht haben, Ihre Ergebnisse zu veröffentlichen (Beratung, Konferenzbeitrag, Artikel usw.).

Was Sie von uns erwarten können

  • Sie erhalten innerhalb von 10 Arbeitstagen nach Meldung des Problems eine Empfangsbestätigung.
  • Die SSG wird Ihre Meldung innerhalb von 15 Arbeitstagen prüfen und validieren.
  • Im Falle einer die Organisation betreffenden Schwachstelle wird die SSG versuchen, innerhalb eines angemessenen Zeitrahmens Abhilfemassnahmen zu koordinieren.
  • Die SSG behandelt die Berichte vertraulich und gibt die persönlichen Daten der meldenden Parteien oder der empfangenden Organisation nicht ohne deren jeweilige Zustimmung weiter.
  • Die SSG wird die meldende Partei soweit wie möglich über die Entwicklungen und die Behebung der Schwachstelle auf dem Laufenden halten.
  • Mit Ihrer Einwilligung werden wir Ihren Beitrag nach Behebung des Problems öffentlich anerkennen.
  • Zurzeit bietet die SSG keine Entschädigung für Berichterstatter an.

Kontaktinformation

Für die Meldung einer Schwachstelle oder bei Fragen wenden Sie sich bitte an
cybersecurity-contact@securitas.ch

Rechtlicher Hinweis

Indem Sie eine Meldung einreichen, erklären Sie sich damit einverstanden, in Übereinstimmung mit diesen Richtlinien zu handeln. Die SSG behält sich das Recht vor, rechtliche Schritte einzuleiten, wenn gegen diese Richtlinien verstossen wird oder die Recherche in böswilliger Absicht erfolgt.