Vulnerability Disclosure Policy

Koordineret offentliggørelse af sårbarheder

Coordinated Vulnerability Disclosure / VDP for Password Depot

Gældende fra: 10. marts 2026

Indberet en sårbarhed Security Advisories
Safe Harbor Anvendelsesområde 48t bekræftelse Coordinated Disclosure
Formål og anvendelsesområde

Formålet med denne policy

AceBIT GmbH byder indberetninger af sikkerhedssårbarheder i Password Depot og i tilknyttede produktrelaterede webtjenester, som AceBIT er ansvarlig for, velkommen. Denne policy beskriver, hvordan sikkerhedsforskere kan indberette potentielle sårbarheder, hvilke regler der gælder for sikkerhedsforskning, og hvilke tilsagn AceBIT giver inden for rammerne af en koordineret offentliggørelse.

Indberetninger kan indsendes på tysk eller engelsk.

Anvendelsesområde

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Produktrelaterede webtjenester under password-depot.de

Inklusive tredjepartskomponenter, i det omfang de indgår i de ovennævnte produkter.

Ikke omfattet

  • Produktionskundemiljøer, kundespecifikke installationer og andre tredjepartssystemer
  • Tjenester eller infrastrukturer, der drives af tredjeparter, og som ikke er en del af Password Depot
  • Social engineering, phishing, fysiske angreb, spam, brute force, credential stuffing, massescanninger eller denial-of-service-tests
Safe Harbor

Safe Harbor

Hvis du handler i god tro, overholder denne policy, begrænser dine tests til det ovenfor beskrevne anvendelsesområde og ikke tilgår, ændrer, sletter, eksfiltrerer data eller forringer tjenester, vil vi – i det omfang det er juridisk tilladt – afstå fra civilretlige krav som følge af sådan sikkerhedsforskning.

I det omfang det ligger inden for vores indflydelsessfære og er juridisk tilladt, vil vi heller ikke indgive strafferetlig anmeldelse i forbindelse med sådan sikkerhedsforskning.

Dette gælder ikke for handlinger uden for anvendelsesområdet, tests mod kunde- eller andre tredjepartssystemer, brud på databeskyttelse, driftsforstyrrelser eller andre overtrædelser af gældende lovgivning.

Denne policy udgør ikke en tilladelse til at teste uden for det heri beskrevne anvendelsesområde.
Guidelines

Vores forventninger til sikkerhedsforskere

1 Handl omhyggeligt, i god tro og begræns dine tests til det nødvendige for at dokumentere sårbarheden på en reproducerbar måde.
2 Tilgå ikke rigtige kundedata. Hvis du utilsigtet får adgang til personlige eller andre følsomme data, skal du straks stoppe testen og underrette os uden forsinkelse.
3 Du må ikke ændre, slette, eksfiltrere eller offentliggøre data.
4 Udfør ikke tests, der kan forringe systemer eller tjenester eller nedsætte deres tilgængelighed.
5 Brug ikke social engineering, phishing, fysiske angreb, og installer ikke bagdøre eller persistensmekanismer.
6 Del ikke detaljer offentligt, før vi i fællesskab har aftalt et koordineret offentliggørelsestidspunkt.
Indberetning

Sådan indberetter du en sårbarhed

Indsend indberetning

Send venligst din indberetning til:

security@password-depot.de

Inkluder venligst

  • Berørt produkt, version, build og komponent
  • Beskrivelse af sårbarheden
  • Trin til reproduktion / proof of concept
  • Din vurdering af konsekvenser og alvorlighed
  • Testmiljø, konfiguration og forudsætninger
  • Kontaktoplysninger og eventuelt ønske om navngivelse
Send venligst ikke unødvendige personoplysninger eller store datamængder fra produktionsmiljøer.

Fortrolighed

Vi behandler din indberetning og – hvis du ønsker det – din identitet fortroligt, i det omfang det er juridisk tilladt. Vi offentliggør kun dit navn med dit forudgående samtykke.

Videregivelse af dine oplysninger sker kun i det omfang, det er nødvendigt for gennemgang, udbedring og koordineret offentliggørelse af sårbarheden eller for opfyldelse af lovbestemte forpligtelser.

Proces

Hvad der sker efter din indberetning

Modtagelsesbekræftelse 48 timer Vi bekræfter modtagelsen af din indberetning.
Indledende vurdering 7 dage Vi informerer dig om, hvorvidt vi klassificerer indberetningen som gyldig, duplikeret, uden for anvendelsesområdet eller aktuelt ikke reproducerbar.
Løbende opdateringer hver 30. dag Vi holder dig informeret om behandlingsstatus indtil udbedring eller indtil den koordinerede offentliggørelse.
Offentliggørelse

Koordineret offentliggørelse og Security Advisories

Når en sikkerhedsopdatering eller en anden effektiv afhjælpning er tilgængelig, offentliggør vi som regel en Security Advisory for bekræftede sårbarheder, der kræver udbedring.

Hvis øjeblikkelig offentliggørelse ville bringe sikkerheden for vores brugere i fare, kan vi udskyde offentliggørelsen til et passende tidspunkt.

En Advisory indeholder som minimum

  • En beskrivelse af sårbarheden
  • De berørte produkter og versioner
  • Konsekvenser og alvorlighed
  • Klar vejledning om udbedring eller afbødning

Bemærkning om lovbestemte indberetningspligter

Hvis en indberetning indikerer en aktivt udnyttet sårbarhed eller en alvorlig sikkerhedshændelse, kan vi være juridisk forpligtet til at videregive nødvendige tekniske oplysninger til kompetente myndigheder, det relevante CSIRT og ENISA samt underrette berørte brugere.

Vi videregiver kun din identitet i denne sammenhæng, i det omfang det er juridisk påkrævet.

Anerkendelse

Vi tilbyder i øjeblikket ikke finansielle belønninger eller bug bounty-udbetalinger, medmindre dette udtrykkeligt annonceres separat.

Hvis du ønsker det, krediterer vi dig ved navn, efter at sårbarheden er udbedret, i en Security Advisory eller en tak-side. Meddel os venligst dette i forbindelse med din indberetning.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Tyskland
E-mail: security@password-depot.de
Indberet en sårbarhed