기업용 개인용
Vulnerability Disclosure Policy

조율된 취약점 공개

Password Depot를 위한 Coordinated Vulnerability Disclosure / VDP

기준일: 2026년 3월 10일

취약점 신고 Security Advisories
Safe Harbor 적용 범위 48시간 내 확인 Coordinated Disclosure
목적 및 적용 범위

본 정책의 목적

AceBIT GmbH는 Password Depot 및 AceBIT가 책임지는 관련 제품 웹 서비스의 취약점 제보를 환영합니다. 본 정책은 보안 연구자가 잠재적 취약점을 어떻게 신고할 수 있는지, 보안 연구 시 어떤 규칙이 적용되는지, 그리고 조율된 공개 절차의 일환으로 AceBIT가 어떤 약속을 하는지를 설명합니다.

신고는 독일어 또는 영어로 할 수 있습니다.

적용 범위

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • 브라우저 확장 프로그램 (Chrome, Edge, Firefox)
  • 모바일 앱 (iOS, Android)
  • password-depot.de의 제품 관련 웹 서비스

명시된 제품의 일부인 경우, 서드파티 구성 요소도 포함됩니다.

적용 제외

  • 운영 중인 고객 환경, 고객별 맞춤 설치 및 기타 제3자 시스템
  • Password Depot의 일부가 아닌, 제3자가 운영하는 서비스 또는 인프라
  • 소셜 엔지니어링, 피싱, 물리적 공격, 스팸, 무차별 대입 공격, Credential Stuffing, 대량 스캔 또는 서비스 거부 테스트
Safe Harbor

Safe Harbor

귀하가 선의로 행동하고, 본 정책을 준수하며, 테스트를 위에 설명된 적용 범위로 제한하고, 데이터를 열람, 변경, 삭제, 유출하거나 서비스를 저해하지 않는 경우, 당사는 법적으로 허용되는 범위 내에서 이러한 보안 연구를 이유로 민사상 청구를 제기하지 않습니다.

당사의 영향력이 미치는 범위 내에서 그리고 법적으로 허용되는 경우, 이러한 보안 연구에 대해서는 형사 고소도 제기하지 않습니다.

이는 적용 범위를 벗어난 행위, 고객 또는 기타 제3자 시스템에 대한 테스트, 개인정보 보호 침해, 운영 장애 또는 그 밖의 준거법 위반에는 적용되지 않습니다.

이 정책은 여기에서 명시된 범위를 벗어난 테스트를 허용하는 것이 아닙니다.
가이드라인

보안 연구자에게 기대하는 사항

1 신중하고 선의에 따라 행동하시며, 취약점을 명확하게 입증하는 데 필요한 범위로만 테스트를 제한해 주십시오.
2 실제 고객 데이터에 접근하지 마십시오. 의도치 않게 민감한 데이터에 접근하게 된 경우 즉시 테스트를 중단하고 지체 없이 당사에 알려 주십시오.
3 데이터를 변경, 삭제, 유출 또는 공개하지 마십시오.
4 시스템이나 서비스에 영향을 주거나 가용성을 저하시킬 수 있는 테스트는 수행하지 마십시오.
5 소셜 엔지니어링, 피싱, 물리적 공격을 사용하지 말고 백도어나 지속성 메커니즘을 설치하지 마십시오.
6 공동으로 조율된 공개 시점을 정하기 전에는 세부 정보를 공개적으로 공유하지 마십시오.
PGP 키

암호화된 커뮤니케이션

민감한 기술 세부사항은 Password Depot Security Team의 공개 PGP 키를 사용해 주십시오. 암호화하기 전에 다운로드한 키의 지문을 확인해 주십시오.

신원 Password Depot Security <security@password-depot.de> 기본 지문 (Ed25519, Sign+Certify) 29D3 2E66 D801 E549 8EFD C944 2D9D 5787 9104 EBAA 암호화 서브키 (Curve25519) 8FC8 9959 3ACD 6D36 4F81 CC19 18A4 0C54 0FD1 0767 유효 기간 기본 키: 2031-04-23까지 · 암호화 서브키: 2028-04-23까지 키 다운로드 https://www.password-depot.de/.well-known/pgp-key.asc

추가로 /.well-known/security.txt의 RFC 9116 (security.txt)를 통해서도 확인할 수 있습니다.

신고

취약점 신고 방법

신고 보내기

신고는 다음으로 보내 주십시오:

security@password-depot.de

다음을 포함해 주십시오

  • 영향을 받는 제품, 버전, 빌드 및 구성 요소
  • 취약점 설명
  • 재현 단계 / PoC
  • 영향 및 심각도에 대한 평가
  • 테스트 환경, 구성 및 전제 조건
  • 연락처 정보 및 필요한 경우 실명 공개 희망 여부
불필요한 개인정보나 운영 환경의 대용량 데이터는 보내지 마십시오.

기밀성

당사는 귀하의 신고 내용과, 귀하가 원하시는 경우 귀하의 신원을 법적으로 허용되는 범위 내에서 기밀로 취급합니다. 귀하의 이름은 사전 동의가 있는 경우에만 공개합니다.

귀하의 정보는 취약점의 검토, 수정 및 조율된 공개 또는 법적 의무 이행에 필요한 경우에 한해 공유됩니다.

절차

신고 후 진행 절차

접수 확인 48시간 접수하신 신고의 수신을 확인해 드립니다.
초기 평가 7일 신고가 유효한지, 중복인지, 범위 외인지 또는 현재로서는 재현할 수 없는지 알려드립니다.
진행 상황 업데이트 30일마다 문제가 해결되거나 협의된 공개가 이루어질 때까지 처리 현황을 알려드립니다.
공개

조정된 공개 및 Security Advisories

보안 업데이트 또는 기타 효과적인 완화 조치가 제공되면, 확인된 취약점에 대해 일반적으로 Security Advisory를 게시합니다.

즉시 공개할 경우 사용자 보안을 위협할 수 있다면, 적절한 시점까지 공개를 연기할 수 있습니다.

Security Advisories 보기

Security Advisory에는 최소한 다음이 포함됩니다

  • 취약점에 대한 설명
  • 영향을 받는 제품 및 버전
  • 영향 및 심각도
  • 해결 또는 완화 방법에 대한 명확한 안내

법적 신고 의무에 대한 안내

신고 내용이 실제로 악용되고 있는 취약점이나 중대한 보안 사고를 시사하는 경우, 당사는 법률에 따라 필요한 기술 정보를 관할 당국, 담당 CSIRT 및 ENISA에 전달하고 영향을 받는 사용자에게 통지해야 할 수 있습니다.

이 과정에서 귀하의 신원은 법적으로 필요한 범위에서만 제공됩니다.

감사의 말씀

현재는 별도로 명시적으로 공지된 경우를 제외하고 금전적 보상이나 Bug Bounty 지급을 제공하지 않습니다.

원하시는 경우, 취약점이 해결된 후 Security Advisory 또는 감사 문구에 귀하의 이름을 기재해 드립니다. 신고 시 이 점을 알려주시기 바랍니다.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · 독일 이메일: security@password-depot.de
취약점 신고