Vulnerability Disclosure Policy (VDP)

Einleitung


Wir als XpertCenter, ein Teil der Gruppe Mobiliar, schätzen die wichtige Rolle Sicherheit unabhängiger Sicherheitsforscher (Security Researchers), die ethisch handeln, um die unserer eigenen Daten, jene der Bürgerinnen und Bürger sowie unserer Kundinnen und Kunden sowie die Zuverlässigkeit unserer Produkte und Dienstleistungen zu gewährleisten. Wir begrüssen daher eine verantwortungsvolle Meldung von Schwachstellen in den digitalen Assets, die wir besitzen, betreiben oder warten.

In dieser Policy werden die Schritte zur Meldung von Schwachstellen beschrieben. Bitte lesen Sie die Policy sorgfältig durch, bevor Sie unsere Systeme auf Sicherheitslücken testen. Wir sind bestrebt, aktiv mit Sicherheitsforschern zusammenzuarbeiten, um die gemeldeten Schwachstellen zu überprüfen und zu beheben.

Schwachstellen melden

Scope


Alle öffentlich zugänglichen digitalen Vermögenswerte, die sich im Besitz der Mobiliar  / XpertCenter befinden und von ihr oder XpertCenter betrieben oder verwaltet werden.


Out of Scope


Bitte beachten Sie, dass

  • wir für einige Teileunserer Systeme und Infrastruktur, Dienste von anderen Unternehmen und/oderOrganisationen nutzen.
  • es einige Systeme inunserer Infrastruktur gibt, die nicht direkt unter unserer Kontrolle stehen.


Schwachstellen, die in diesen Systemen entdeckt oder vermutet werden, sind dem entsprechenden Anbieter oder der zuständigen Behörde zu melden. Sollten diese dennoch über diesen Kanal eingereicht werden, leiten wir die Schwachstelle an die relevante Organisation weiter. Der Eigentümer des betroffenen IT-Systems bleibt jedoch für das System und mögliche Massnahmen zur Behebung verantwortlich.


Unsere Verpflichtung


Bei der Zusammenarbeit mit uns im Rahmen dieser Policy, können Sie folgendes von uns erwarten:

  • Zeitnahe Reaktion, umden Eingang der Schwachstellenmeldung zu bestätigen
  • Proaktive Zusammenarbeit,um die Meldung nachvollziehen zu können und zu validieren
  • Offener Dialog, umallfällige Probleme oder Herausforderungen zu besprechen
  • Eine möglichst zeitnahe Behebung der entdeckten Schwachstellen
  • Einschätzung des Zeitrahmens für die Bearbeitung der Schwachstellenmeldung
  • Auf dem Laufendenhalten über den Fortschritt des Bearbeitungsprozesses der Schwachstelle
  • Benachrichtigung, wenndie Schwachstelle behoben wurde
  • Würdigung, wenn Sie alsErster eine einzigartige Schwachstelle melden und Ihre Meldung eine Code- oder Konfigurationsänderung nach sich zieht
  • Bereitstellung eines Legal Safe Harbors mittels dieser Policy, um das proaktive Finden von Schwachstellen zu ermöglichen


Unsere Erwartungen


Bei der Teilnahme an unserem Vulnerability Disclosure Programms, erwarten wir von Ihnen:

  • Sich an die Regeln undAnweisungen zu halten, die in dieser Policy beschrieben sind
  • In der Zusammenarbeitund daraus resultierenden Meldungen keine geltenden Gesetze zu verletzen
  • Uns jede entdeckte Schwachstelle umgehend zu melden
  • Die entdecktenSchwachstellen nicht auszunutzen oder anderweitig zu verwenden, ausser zum Zweck der Meldung an uns
  • Die Privatsphäreanderer zu respektieren, unsere Systeme nicht zu stören, Daten nicht zuzerstören und andere Benutzer der Systeme nicht zu beeinträchtigen
  • Nur die offiziellenKanäle zur Meldung zu nutzen, um Informationen bezüglich Schwachstellen mit unszu besprechen
  • Die Vertraulichkeit vonDetails zu entdeckten Schwachstellen gemäss dieser Policy zu gewährleisten
  • Wenn eine Schwachstelleunbeabsichtigten Zugriff auf Daten ermöglicht: Den Zugriff limitieren auf dasabsolute Minimum für die Demonstration der Schwachstelle, das Testeneinzustellen und uns sofort eine Meldung einzureichen
  • Nur mit Testkonten zuinteragieren, die Ihnen gehören oder für die Sie ausdrückliche Genehmigung vomKontoinhaber haben
  • Keine Forderungen mitder Meldung zu stellen
  • Uns eine angemessene Frist (90 Tage ab der ersten Meldung) zur Behebung des Problems zu geben
  • Eine allfällige Veröffentlichungvon Schwachstellen mit uns zu koordinieren


Die Mobiliar und XpertCenter erlauben keine der folgenden Arten von Sicherheitstests


Wir ermutigen Sie, uns alle von Ihnen entdeckten Schwachstellen zu melden, folgende Aktivitäten sind im Rahmen dieser Policy aber strikt untersagt:

  • Handlungen, die unsere Systeme oder unsere Kunden negativ beeinträchtigen können (z. B. Phishing,Spam, Brute-Force-Angriffe, Denial-of-Service usw.)
  • Zerstörung,Beschädigung oder Veränderung von Daten oder Informationen, die Ihnen nichtgehören, oder der Versuch dazu
  • Durchführung vonphysischen oder anderweitigen Angriffen auf unser Personal, Eigentum, Gebäude oder Infrastruktur
  • Social Engineering gegenüber unseren Mitarbeitern, Kunden oder Auftragnehmern


Koordinierte Offenlegung von Schwachstellen (CVD)


Wir schätzen die Bemühungen externer Sicherheitsforscher, die Sicherheitslücken identifizieren und verantwortungsbewusst offenlegen, damit sie behoben werden können. Unsere Policy erlaubt die Veröffentlichung, sofern die folgenden Bedingungen erfüllt sind (Coordinated Vulnerability Disclosure):

  • Die meldende Person darf die Schwachstelle nicht veröffentlichen, bevor wir bestätigt haben, dass diese Behoben ist und eine Offenlegung von unserer Seite akzeptiert wurde.
  • Eine Veröffentlichung wird nach 90 Tagen akzeptiert, sofern eine Koordination mit uns stattgefunden hat.
  • Es darf keine Veröffentlichung genauer Details des Problems erfolgen, wie z.B. Exploits oder Proof-of-Concept-Code.

Offizielle Kanäle


Bitte melden Sie Schwachstellen über https://app.bugbounty.ch/public/engagement/details/065351e2-2766-4169-aab9-dc4abaca3cb1 und geben Sie alle relevanten Informationen an. Bitte reichen Sie keine Berichte von automatisierten Tools ein, ohne diese zu überprüfen. Je mehr der folgenden Details Sie bereitstellen, desto einfacher wird es für uns sein, das Problem zu analysieren und zu beheben und Ihren Einsatz zu würdigen:

  • Technische Beschreibung der Schwachstelle, einschliesslich:
    • Verwendete Browserinformationen (Typ und Version)
    • Relevante Informationen zu verbundenen Komponenten und Geräten
    • Betroffene Plattform(en) und URL(s)
  • Beispielcode zur Demonstration der Schwachstelle und/oder detaillierte Schritte zur Reproduktion
  • Bedrohungs-/Risikobewertung
  • Datum und Uhrzeit der Entdeckung
  • Kontaktinformationen
  •  Allfällige Pläne für eine Veröffentlichung, falls dies angestrebt wird

Bitte beachten Sie, dass diese Kanäle ausschliesslich zur Meldung von nicht offengelegten Schwachstellen verwendet werden dürfen und nicht für andere Support- oder Informationsanfragen. Anfragen, die keine unveröffentlichten Schwachstellen betreffen, werden nicht beantwortet.


Legal Safe Harbor

  • Wir werden keine zivilrechtlichen Schritte einleiten oder Anzeigen bei Strafverfolgungsbehörden anregen gegen Teilnehmer dieses Programms wegen unbeabsichtigter Verstösse gegen die Policy, sofern diese in gutem Glauben erfolgt sind
  • Wir interpretieren Aktivitäten von Teilnehmern, die dieser Policy entsprechen, nicht als unbefugten Zugriff gemäss dem Schweizer Strafgesetzbuch. Dies umfasst die Artikel 143, 143bis und 144bis des Schweizerischen Strafgesetzbuchs
  • Wir werden keine Anzeigen gegen Teilnehmer einreichen, die versuchen, eingesetzte Sicherheitsmassnahmen zu umgehen, um die in dieser Policy benannten Dienste zu schützen
  • Wenn rechtliche Schritte von einer Drittpartei gegen einen Teilnehmer eingeleitet werden sollten und der Teilnehmer gemäss dieser Policy gehandelt hat, werden wir die erforderlichen Schritte unternehmen, um die Behörden darauf hinzuweisen, dass die Handlungen dieses Teilnehmers in Übereinstimmung mit dieser Policy stattgefunden haben.
  • Bei geringfügigen Verstössen kann eine Warnung ausgesprochen werden. Bei schwerwiegenden Verstössen behalten wir uns das Recht vor, strafrechtliche Anzeige zu erheben.

Sie sind wie immer verpflichtet,alle geltenden Gesetze einzuhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenkenhaben oder unsicher sind, ob Ihre Tests und Aktivitäten mit dieser Policyübereinstimmen, reichen Sie bitte eine Meldung über einen unserer offiziellenKanäle ein, bevor Sie Ihre Aktivitäten fortsetzen.

Beachten Sie, dass der Legal SafeHarbor nur für rechtliche Ansprüche gilt, die unter der Kontrolle derSchweizerischen Mobiliar Versicherungsgesellschaft AG, der SchweizerischenMobiliar Lebensversicherungs-Gesellschaft AG, der Schweizerischen Mobiliar ServicesAG, der Schweizerischen Mobiliar Asset Management AG, der ProtektaRechtsschutz-Versicherung AG, der Schweizerischen Mobiliar Risk Engineering AG,der Mobi24 AG und der XpertCenter AG stehen, und dass die Policy unabhängigeDritte nicht bindet.

Diese Policy unterliegt demschweizerischen Recht. Der ausschliessliche Gerichtsstand für alleStreitigkeiten, die aus oder im Zusammenhang mit dieser Policy entstehen, ist Bern,Schweiz. Zwingende Gerichtsstände bleiben vorbehalten.

Schwachstellen melden
XpertCenter AG, XpertHome
Monbijoustrasse 5
3011 Bern
+41 31 389 79 10
xperthome@xpertcenter.ch
ImpressumDatenschutzVDP