CVD-Policy

OPTENDA unterstützt den Prozess zur verantwortungs­vollen Meldung von Schwachstellen (Responsible Disclosure Process). OPTENDA schätzt Meldungen von ethischen Sicherheitsforschenden die gemäß dieser Richtlinie erfolgen, bietet aber keine finanzielle Entschädigung (Bug-Bounty-Programm) für die Offenlegung von Schwachstellen.

Wenn Sie glauben eine Schwachstelle gefunden zu haben melden Sie diese bitte an folgende Adresse: security@optenda.de

Sie können unseren age Private-Key nutzen, um uns verschlüsselte Nachrichten zukommen zu lassen: 

age1mxnwhndxjx6zlum6x4sfm2ljhv4yfa4mdmgkzct78y0emm0fc9qqs6uzxu

• Beachtung von geltenden Gesetzen und Regelungen
• Beachtung der Datenschutzregeln (Löschung der Daten aus der Recherche, spätestens nach einem Monat)
• Angabe des von der Schwachstelle betroffenen Dienstes mit URL oder IP
• Angaben zur schrittweisen Nachvollziehung der gefundenen Schwachstelle

Bitte sehen Sie dabei von Folgendem ab:

• Nutzung von Denial-of-Service (DOS), Brute Force, Social Engineering, Phishing für die Suche nach Schwachstellen
• Nutzung von aggressiven oder zerstörerischen Tools für die Suche nach Schwachstellen
• Ausnutzung von gefundenen Schwachstellen über das für die Dokumentation zwingend erforderliche Maß hinaus (z.B. übermäßige Sammlung von Daten)
• Änderung oder Löschung von Daten in unseren Systemen oder Diensten
• Meldung unsicherer TLS-Konfiguration und/oder fehlender HTTP-Sicherheitsheader
• Meldung von Ergebnissen aus automatisierten Tools ohne erklärende Dokumentation

• Keine Strafverfolgung, wenn in guter Absicht und in Übereinstimmung mit diesem Dokument Sicherheitslücken an OPTENDA gemeldet werden
• Bestätigung zum Eingang Ihrer Meldung
• Zuweisung einer Vorgangsnummer für die weitere Kommunikation
• Nach der Bestätigung einer bestehenden Schwachstelle durch unser Team nennen wir Ihnen einen Zeitraum für die Behebung der Schachstelle
• Rückmeldung nach der Behebung der Schwachstelle durch unser Team