Melden Sie uns Sicherheitslücken

ACTIVE 24 wertet laufend alle Risiken eines potentiellen Cyber-Angriffs auf unsere Dienste aus und berücksichtigt sie bei aktiven Abwehrmaßnahmen, weiterer Entwicklung und ordnungsgemäßem Betrieb unserer Dienste. In die System-Absicherung investieren wir beträchtliche Mühe und hohen Arbeitskräfteeinsatz unseres technischen Teams. Wir sind uns im Klaren, dass die Systemsicherheit nicht im statischen Zustand, sondern im Prozess ständiger Neubewertung, Entwicklung und Verbesserungen währt, wobei die schnelle Reaktion auf entdeckte Schwächen und Sicherheitslücken eine wichtige Rolle spielt. Deshalb begrüßen wir die Zusammenarbeit mit IT-Spezialisten im Bereich Sicherheit und schätzen gewissenhafte Hinweise über entdeckte und potentiell ausnutzbare Verletzlichkeiten in unseren Systemen. Jede Sicherheitslücke wird von uns umgehend überprüft und sollte sie sich bestätigen, sofort behoben.

Sollten Sie bei ACTIVE 24-Diensten Sicherheitslücken entdecken, melden Sie uns diese wie nachfolgend beschrieben. Wenn Sie sich an nachfolgende Grundsätze halten, verpflichtet sich ACTIVE 24 keine rechtlichen Schritte gegen Sie einzuleiten. Im Gegenteil, für Hinweise auf Verletzlichkeiten, die sich als kritisch herausstellen sollten, garantieren wir Ihnen eine finanzielle Prämie.    

Grundsätze bei der Meldung von Sicherheitslücken:

  • Entdeckte Sicherheitslücken melden Sie uns bitte an die E-Mail-Adresse: csirt @ active24.cz.
  • Sollte hierfür kein Hindernis bestehen, verschlüsseln Sie Ihre Meldung durch unseren PGP-Schlüssel.
  • Senden Sie uns nachfolgende Informationen: Ihr Name und Ihre Kontaktdaten (unter anderem Ihren PGP-Schlüssel für eine verschlüsselte Antwort), Details der Sicherheitslücke einschließlich der Vorgehensweise, wie man den Fehler reproduziert und im Rahmen von Proof of Concept auf möglichen Missbrauch überprüft.
  • Arbeiten Sie mit uns bei der Überprüfung und Reproduktion gemeldeter Sicherheitslücke zusammen.
  • Beim Suchen und Testen von Verletzlichkeiten, achten Sie darauf, dass Sie keine Privatsphäre verletzen, in die abgelegten Daten nicht eingreifen oder die laufenden Dienste nicht beschädigen.
  • Greifen Sie auf keine fremden Daten zu.
  • Geben Sie uns Zeit, Ihrem Hinweis nachzugehen, den Fehler zu beheben und weitere erforderliche Maßnahmen einzuleiten, bevor Sie die Informationen über die entdeckte System-Verletzlichkeit veröffentlichen oder sie mit weiteren Personen teilen.

Eine Rückmeldung auf Ihren Hinweis können Sie innerhalb von zwei Tagen erwarten.