70mai-Richtlinie zur Offenlegung von Sicherheitslücken und Schwachstellen

70mai legt bei der Entwicklung seiner Produkte und Dienstleistungen stets großen Wert darauf, die höchsten Sicherheitsstandards zu implementieren, um seine Kunden und ihre personenbezogenen Daten zu schützen. Wir begrüßen Informationen über potenzielle Sicherheitslücken und Schwachstellen von Sicherheitsforschern, Akademikern und anderen Mitgliedern der Sicherheitsgemeinschaft.

Die Mitarbeiterinnen und Mitarbeiter der Sicherheitsabteilung von 70mai sind bereit, mit denjenigen zusammenzuarbeiten, die sie auf solche Sicherheitslücken und Schwachstellen aufmerksam machen, und bestrebt, alle relevanten Meldungen zu würdigen.

Wann ist das für Produktsicherheitsvorfälle zuständige Team (Product Security Incident Response Team) zu kontaktieren?

Fündig gewordene IT-Expertinnen und IT-Experten oder Benutzerinnen und Benutzer werden gebeten, Sicherheitslücken oder Bugs an 70mai über die URL-Adresse https://www.70mai.com/contact-us/ oder per E-Mail an security@70mai.com weiterzuleiten.

Plan zur Reaktion auf Sicherheitsvorfälle

Der Plan zur Reaktion auf Sicherheitsvorfälle sieht Folgendes vor:

1. Ein spezielles Team aus im Kundendienst tätigen Mitarbeiterinnen und Mitarbeitern überwacht täglich die über den Kontaktbereich unserer Website eingehenden Informationen und meldet sicherheitsrelevante Beiträge den Mitarbeiterinnen und Mitarbeiter der 70mai-Sicherheitsabteilung. Zur selben Zeit überwachen die Mitarbeiterinnen und Mitarbeiter der Sicherheitsabteilung täglich die Website mit der URL-Adresse security@70mai.com.

2. Die Mitarbeiterinnen und Mitarbeiter der Sicherheitsabteilung bestimmen den Schweregrad des Vorfalls und setzen die/den PM (Programmleiter/in) in Kenntnis.

3. Bei der Bewertung von Sicherheitslücken und Schwachstellen vertraut 70mai auf die Verfahren, die sich in der Branche bewährt haben, um die potenziellen Auswirkungen der Sicherheitslücke oder Schwachstelle als hoch, mittel oder gering einzustufen.

4. Je nach Schwere des Vorfalls werden anschließend die nachstehend aufgeführten Maßnahmen eingeleitet:
a) Hoch: Die/Der PM kommt unverzüglich mit dem/der Leiter/in der Technikabteilung, den Mitarbeiterinnen und Mitarbeitern der Sicherheitsabteilung und den zugehörigen Ingenieurinnen und Ingenieuren für eine Besprechung zusammen. In der Besprechung wird dann ein geeigneter Plan ausgearbeitet. Auf die Cloud bezogene Reparaturmaßnahmen werden sofort eingeleitet. Die App und die Firmware werden so schnell wie möglich auf einen aktuellen sicherheitstechnischen Stand gebracht und zu dem in der obigen Tabelle angegebenen Zeitpunkt wird den Benutzern eine entsprechende Aktualisierung über die Funkschnittstelle (OTA) bereitgestellt.
b) Mittel: Die/Der PM kommt mit Mitarbeiterinnen und Mitarbeitern der Sicherheitsabteilung und den zugehörigen Ingenieurinnen und Ingenieuren für eine Besprechung zusammen. In der Besprechung wird dann ein geeigneter Plan ausgearbeitet. Reparaturmaßnahmen und/oder eine entsprechende Aktualisierung über die Funkschnittstelle (OTA) erfolgt zu dem in der obigen Tabelle angegebenen Zeitpunkt.
c) Gering: Die/Der PM trifft kommt mit Mitarbeiterinnen und Mitarbeitern der Sicherheitsabteilung und den zugehörigen Ingenieurinnen und Ingenieuren für eine Besprechung zusammen, um einen geeigneten Plan auszuarbeiten. Reparaturmaßnahmen und/oder eine entsprechende Aktualisierung über die Funkschnittstelle (OTA) erfolgt zu dem in der obigen Tabelle angegebenen Zeitpunkt. Die Mitarbeiterinnen und Mitarbeitern der Sicherheitsabteilung benachrichtigen avs-security@amazon.com innerhalb von 24 Stunden über alle oben genannten Vorfälle. Die Benachrichtigung erfolgt per E-Mail in der Form eines ersten Berichts mit einer Beschreibung des Vorfalls und des Schweregrads. Ein weiterer Bericht mit für die Problemlösung relevanten Maßnahmen sowie ein entsprechender Zeitplan für die Veröffentlichung und/oder eine entsprechende Aktualisierung über die Funkschnittstelle (OTA) wird zum frühestmöglichen Zeitpunkt ebenfalls per E-Mail an avs-security@amazon.com gesendet.

Empfang von Sicherheitsinformationen von 70mai

Sicherheitshinweise

In den meisten Fällen geben wir einen Hinweis heraus, wenn wir eine geeignete Umgehung oder Behebung für die betreffende Sicherheitslücke oder Schwachstelle gefunden haben. Es besteht jedoch die Möglichkeit, dass wir einen Hinweis herausgeben, obwohl es noch keine Umgehung/Behebung gibt – dies ist der Fall, wenn die Sicherheitslücke oder Schwachstelle in der Sicherheitsgemeinschaft bereits weithin bekannt ist.

Versionshinweise (Readme oder Änderungsverlauf)

Die in den Versionshinweisen enthaltenen Informationen zu Sicherheitsaktualisierungen beziehen sich entweder auf die standardisierte Liste über Schwachstellen und Sicherheitsrisiken von Computersystemen (CVE) oder die interne Tracking-Nummer. Beide sind in den von uns veröffentlichten Sicherheitshinweisen enthalten. Sollte 70mai der Auffassung sein, dass es im besten Interesse der Kunden ist, frühestmöglich eine Aktualisierung vorzunehmen, erfolgt die Benachrichtigung bezüglich geeigneter Abhilfemaßnahmen mitunter schon vor der Veröffentlichung des Sicherheitshinweises. Sobald der Hinweis veröffentlicht wurde, lassen sich die Informationen hinsichtlich der Sicherheitslücke oder der Schwachstelle durch die Angabe der Tracking-Nummer in den Versionshinweisen finden.

Die Informationen in den Versionshinweisen, die sich auf die Behebung von Open-Source-Schwachstellen beziehen, enthalten aktualisierte CVEs.

Bei Open-Source-Schwachstellen veröffentlicht 70mai keine Sicherheitshinweise.

Referenzen

Sollten zusätzliche Informationen über die Schwachstelle zur Verfügung stehen, enthält der Hinweis entsprechende Links als Referenz. Dazu gehören Links zur CVE, Blogs oder Zitaten aus relevanten Artikeln.

Anerkennung

In der Regel versuchen wir, die Arbeit der IT-Expertin/des IT-Experten oder der Finderin/des Finders der Sicherheitslücke oder der Schwachstelle zu würdigen, indem wir sie/ihn mit ihrer/seiner Erlaubnis namentlich nennen.

Änderungsverlauf

Wenn ein Hinweis überarbeitet wird, zeigt der Änderungsverlauf, welche Punkte zu welchem Zeitpunkt aktualisiert wurden.

Wir bemühen uns nach Kräften, Sicherheitslücken und Schwachstellen in unseren Produkten so schnell wie möglich zu beheben. Aufgrund von Faktoren wie die Komplexität der Problemlösung, Qualitätsprüfungen, Embargos und die herstellerübergreifende Koordination sind wir jedoch nicht in der Lage, eine garantierte Reaktionszeit für ein bestimmtes Problem oder eine bestimmte Gruppe von Problemen anzugeben.