Vulnerability Disclosure Policy

Koordinoitu haavoittuvuuksien julkistaminen

Vulnerability Disclosure Policy (VDP) Password Depotille

Voimassa: 10. maaliskuuta 2026

Ilmoita haavoittuvuudesta Security Advisories
Safe Harbor Soveltamisala 48h kuittaus Coordinated Disclosure
Tarkoitus ja soveltamisala

Tämän käytännön tarkoitus

AceBIT GmbH toivottaa tervetulleiksi ilmoitukset Password Depotin ja siihen liittyvien AceBITin ylläpitämien tuotekohtaisten verkkopalvelujen tietoturva-aukoista. Tämä käytäntö kuvaa, miten tietoturvatutkijat voivat ilmoittaa mahdollisista haavoittuvuuksista, mitä sääntöjä tietoturvatutkimuksessa noudatetaan ja mitä sitoumuksia AceBIT tekee koordinoidun julkistamisen puitteissa.

Ilmoitukset voidaan tehdä saksaksi tai englanniksi.

Soveltamisala

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Tuotekohtaiset verkkopalvelut osoitteessa password-depot.de

Mukaan lukien kolmannen osapuolen komponentit, sikäli kuin ne ovat osa yllä mainittuja tuotteita.

Soveltamisalan ulkopuolella

  • Tuotantoympäristöt, asiakaskohtaiset asennukset ja muut kolmannen osapuolen järjestelmät
  • Kolmansien osapuolten ylläpitämät palvelut tai infrastruktuurit, jotka eivät ole osa Password Depotia
  • Social engineering, phishing, fyysiset hyökkäykset, roskaposti, brute force, credential stuffing, massakannat tai palvelunestotestaus
Safe Harbor

Safe Harbor

Jos toimit vilpittömässä mielessä, noudatat tätä käytäntöä, rajaat testisi yllä kuvattuun soveltamisalaan etkä lue, muuta, poista, siirrä tietoja tai heikennä palveluja, pidättäydymme – lain sallimissa rajoissa – siviilioikeudellisista vaatimuksista, jotka johtuvat tällaisesta tietoturvatutkimuksesta.

Sikäli kuin se on vaikutusvaltamme piirissä ja laillisesti sallittua, emme myöskään tee rikosilmoitusta tällaisesta tietoturvatutkimuksesta.

Tämä ei koske soveltamisalan ulkopuolisia toimia, asiakas- tai muiden kolmannen osapuolen järjestelmien testausta, tietosuojaloukkauksia, toimintahäiriöitä tai muita sovellettavan lain rikkomuksia.

Tämä käytäntö ei ole lupa testata tässä kuvatun soveltamisalan ulkopuolella.
Guidelines

Odotuksemme tietoturvatutkijoille

1 Toimi huolellisesti, vilpittömässä mielessä ja rajaa testisi siihen, mikä on tarpeen haavoittuvuuden toistettavaan todentamiseen.
2 Älä käytä oikeita asiakastietoja. Jos saat vahingossa pääsyn arkaluonteisiin tietoihin, lopeta testi välittömästi ja ilmoita meille viipymättä.
3 Älä muuta, poista, siirrä tai julkaise mitään tietoja.
4 Älä suorita testejä, jotka voivat heikentää järjestelmiä tai palveluja tai vähentää niiden saatavuutta.
5 Älä käytä social engineeringiä, phishingiä, fyysisiä hyökkäyksiä äläkä asenna takaovia tai pysyvyysmekanismeja.
6 Älä jaa yksityiskohtia julkisesti ennen kuin olemme yhdessä sopineet koordinoidusta julkistamisajankohdasta.
Ilmoitus

Näin ilmoitat haavoittuvuudesta

Lähetä ilmoitus

Lähetä ilmoituksesi osoitteeseen:

security@password-depot.de

Liitä mukaan

  • Tuote, versio, koontiversio ja komponentti, jota asia koskee
  • Haavoittuvuuden kuvaus
  • Toistamisvaiheet / Proof of Concept
  • Arviosi vaikutuksista ja vakavuusasteesta
  • Testiympäristö, kokoonpano ja edellytykset
  • Yhteystiedot ja mahdollinen toive nimen mainitsemisesta
Älä lähetä tarpeettomia henkilötietoja tai suuria tietomääriä tuotantoympäristöistä.

Luottamuksellisuus

Käsittelemme ilmoituksesi ja – halutessasi – henkilöllisyytesi luottamuksellisesti lain sallimissa rajoissa. Julkaisemme nimesi vain ennakkosuostumuksellasi.

Tietojasi luovutetaan vain siinä määrin kuin se on tarpeen haavoittuvuuden tarkistamiseksi, korjaamiseksi ja koordinoiduksi julkistamiseksi tai lakisääteisten velvoitteiden täyttämiseksi.

Prosessi

Mitä ilmoituksesi jälkeen tapahtuu

Vastaanottovahvistus 48 tuntia Vahvistamme ilmoituksesi vastaanoton.
Ensimmäinen arviointi 7 päivää Ilmoitamme sinulle, luokitellaanko ilmoitus päteväksi, kaksoiskappaleeksi, soveltamisalan ulkopuoliseksi vai tällä hetkellä ei-toistettavaksi.
Jatkuvat päivitykset joka 30. päivä Pidämme sinut ajan tasalla käsittelyn edistymisestä korjaukseen tai koordinoituun julkistamiseen asti.
Julkistaminen

Koordinoitu julkistaminen ja Security Advisories

Kun tietoturvapäivitys tai muu tehokas korjaustoimenpide on saatavilla, julkaisemme yleensä Security Advisoryn vahvistetuista ja korjausta vaativista haavoittuvuuksista.

Jos välitön julkaiseminen vaarantaisi käyttäjiemme turvallisuuden, voimme lykätä julkaisua sopivaan ajankohtaan.

Advisory sisältää vähintään

  • Haavoittuvuuden kuvaus
  • Tuotteet ja versiot, joita asia koskee
  • Vaikutukset ja vakavuusaste
  • Selkeät ohjeet korjaukseen tai lieventämiseen

Huomautus lakisääteisistä ilmoitusvelvollisuuksista

Jos ilmoitus viittaa aktiivisesti hyväksikäytettyyn haavoittuvuuteen tai vakavaan tietoturvatapahtumaan, saatamme olla lain nojalla velvollisia toimittamaan tarvittavat tekniset tiedot toimivaltaisille viranomaisille, asianomaiselle CSIRT-yksikölle ja ENISAlle sekä ilmoittamaan asiasta asianomaisille käyttäjille.

Luovutamme henkilöllisyytesi tässä yhteydessä vain lain edellyttämässä laajuudessa.

Tunnustus

Emme tällä hetkellä tarjoa rahallisia palkkioita tai bug bounty -maksuja, ellei toisin nimenomaisesti erikseen ilmoiteta.

Halutessasi mainitsemme nimesi haavoittuvuuden korjauksen jälkeen Security Advisoryssa tai kiitoksessa. Ilmoita tästä ilmoituksessasi.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Saksa
Sähköposti: security@password-depot.de
Ilmoita haavoittuvuudesta