Kontakt

Verantwortungsvolle Informationspolitik

Fähigkeiten haben, Verantwortung übernehmen

Schwachstellen melden

Die Sicherheit Ihrer Daten hat für uns höchste Priorität. Deshalb arbeiten wir hart daran, unsere Systeme zu schützen. Haben Sie dennoch eine Schwachstelle in unserer Sicherheit gefunden? Helfen Sie uns, indem Sie die Sicherheitslücke melden. Bitte machen Sie eine Sicherheitslücke nicht öffentlich, bevor Sie nicht mit uns an einer Lösung gearbeitet haben. Wir versuchen nicht, unsere Fehler zu vertuschen, aber eine Sicherheitslücke öffentlich zu machen, könnte schwerwiegende Folgen für alle unsere Kunden haben.

How can I report a vulnerability?

Sie können eine Sicherheitslücke melden, indem Sie eine E-Mail an rdp@gingerpayments.com senden. Wenn möglich, verschlüsseln Sie Ihre E-Mail mit unserem GPG-Schlüssel (Schlüssel anfordern), damit die Informationen nicht in falsche Hände geraten. Bitte erläutern Sie in Ihrer E-Mail die von Ihnen gefundene Sicherheitslücke und geben Sie uns genügend Informationen, um das Problem zu reproduzieren und zu untersuchen.

Kann ich eine Sicherheitslücke auch anonym melden?

Unbedingt. Sie sind nicht verpflichtet, Ihre persönlichen Daten anzugeben.

Die Regeln

Sie könnten illegale Aktivitäten durchgeführt haben, um eine Schwachstelle zu entdecken. Wir werden diese Aktivitäten nicht melden oder Schadenersatz fordern, wenn Sie diese Regeln befolgt haben:

  • Gehen Sie verantwortungsbewusst mit dem Wissen um die Schwachstelle um und führen Sie keine Handlungen durch, die über das hinausgehen, was zum Nachweis der Schwachstelle notwendig ist;
  • Keine Schäden verursachen;
  • Keine Denial-of-Service-Attacke oder Social Engineering anwenden;
  • Sicherstellen, dass Ihre Nachforschungen nicht zu einer Unterbrechung unserer Dienste führen;
  • Ihre Nachforschungen sollten niemals dazu führen, dass Ginger- oder Kundendaten öffentlich werden;
  • Platzieren Sie niemals eine Hintertür, auch nicht, um eine Sicherheitslücke zu demonstrieren;
  • Ändern oder löschen Sie niemals Daten. Falls Sie Daten kopieren müssen, kopieren Sie nie mehr Daten als unbedingt nötig;
  • Nehmen Sie keine Änderungen am System vor;
  • versuchen Sie nicht öfter als nötig, in ein System einzudringen.
  • Verwenden Sie keine Brute-Force-Techniken.
  • Verwenden Sie keine Techniken, die die Verfügbarkeit unserer Dienste beeinträchtigen könnten.
  • Melden Sie eine Sicherheitslücke immer so schnell wie möglich und bitten Sie uns um Erlaubnis, bevor Sie die Sicherheitslücke veröffentlichen.

Was passiert, wenn ich eine Sicherheitslücke melde?

Wir werden sofort nach Eingang Ihrer Meldung eine Untersuchung einleiten. Wir versuchen immer, uns innerhalb weniger Tage bei Ihnen zu melden und halten Sie über unsere Fortschritte bei der Lösung des Problems auf dem Laufenden. Die Zeit, die wir zur Lösung eines Problems benötigen, hängt von der Komplexität des Problems ab. Nachdem Sie ein Problem gemeldet haben, bitten wir Sie, es nicht öffentlich zu machen, um uns zunächst Zeit für die Lösung des Problems zu geben.

Machen Sie das Thema öffentlich?

Gemeinsam können wir entscheiden, ob und wie das Problem veröffentlicht werden soll (nachdem das Problem gelöst wurde). Wenn Sie möchten, können wir Ihren Namen in die Veröffentlichung aufnehmen.

Kann ich für das Melden eines Problems eine Belohnung erhalten?

Sie können sich einen Platz in unserer Ruhmeshalle verdienen, wenn Sie uns eine Sicherheitslücke melden. Bitte teilen Sie uns mit, mit welchem Handle oder Namen Sie vertreten sein möchten. Als weiteres Dankeschön für Ihre Hilfe können wir Ihnen eine Belohnung anbieten, aber wir sind nie dazu verpflichtet, eine Belohnung anzubieten. Wir bieten nur Belohnungen für Mängel an, die uns zum Zeitpunkt der Meldung unbekannt waren. Die Art und Höhe der Belohnung wird auf der Grundlage des gemeldeten Problems und unter Berücksichtigung der Schwere des Problems (und anderer Faktoren) festgelegt. Falls mehrere Personen das gleiche Problem melden, wird nur der erste Melder belohnt.

Welche Systeme/Probleme sind von Bug-Bounty-Belohnungen ausgeschlossen?

Nicht alle Systeme, die wir verwenden, unterliegen unserer direkten Kontrolle. Wir nehmen Meldungen zwar ernst, können aber nicht zulassen, dass sie unter ein Bug-Bounty-Programm fallen.

AUSGESCHLOSSENE SYSTEME

www.gingerpayments.com ( öffentliche Seite )

Was ist mit meiner Privtasphäre?

Wir verwenden Ihre persönlichen Daten nur, um auf Ihre Meldung hin Maßnahmen zu ergreifen. Wir geben Ihre Daten nicht ohne Ihre Zustimmung an Dritte weiter, es sei denn, wir sind gesetzlich dazu verpflichtet oder ein Gerichtsbeschluss zwingt uns dazu. Wenn wir ein anderes Unternehmen mit der Untersuchung Ihrer Meldung beauftragen, sind wir möglicherweise verpflichtet, Ihre Daten an dieses Unternehmen weiterzugeben. Wir werden sicherstellen, dass auch dieses Unternehmen Ihre Daten vertraulich behandelt.

Regulatorien

Berücksichtigen Sie immer die geltenden Gesetze und Vorschriften, denn Sie könnten immer noch mit dem Gesetz in Konflikt geraten, auch wenn wir Sie nicht bei den Behörden anzeigen.