Vulnerability Disclosure Policy

Koordinert offentliggjøring av sårbarheter

Vulnerability Disclosure Policy (VDP) for Password Depot

Gjeldende fra: 10. mars 2026

Rapporter en sårbarhet Security Advisories
Safe Harbor Omfang 48t Bekreftelse Coordinated Disclosure
Formål og omfang

Formålet med denne policyen

AceBIT GmbH ønsker rapportering av sikkerhetssårbarheter i Password Depot og i tilknyttede produktrelaterte nettjenester som drives av AceBIT, velkommen. Denne policyen beskriver hvordan sikkerhetsforskere kan rapportere potensielle sårbarheter, hvilke regler som gjelder for sikkerhetsforskning, og hvilke forpliktelser AceBIT påtar seg innenfor rammen av en koordinert offentliggjøring.

Rapporter kan sendes på tysk eller engelsk.

Omfang

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Produktrelaterte nettjenester under password-depot.de

Inkludert tredjepartskomponenter i den grad de er en del av de ovennevnte produktene.

Utenfor omfanget

  • Produksjonsmiljøer hos kunder, kundetilpassede installasjoner og andre tredjepartssystemer
  • Tjenester eller infrastruktur som drives av tredjeparter og som ikke er en del av Password Depot
  • Social engineering, phishing, fysiske angrep, spam, brute force, credential stuffing, masseskanning eller denial-of-service-testing
Safe Harbor

Safe Harbor

Hvis du handler i god tro, overholder denne policyen, begrenser testingen til omfanget beskrevet ovenfor og ikke leser, endrer, sletter, eksfiltrerer data eller svekker tjenester, vil vi – i den grad det er juridisk tillatt – avstå fra sivile krav knyttet til slik sikkerhetsforskning.

I den grad dette er innenfor vår kontroll og juridisk tillatt, vil vi heller ikke anmelde slik sikkerhetsforskning.

Dette gjelder ikke for handlinger utenfor omfanget, tester mot kunde- eller andre tredjepartssystemer, personvernbrudd, driftsforstyrrelser eller andre brudd på gjeldende lovgivning.

Denne policyen gir ikke tillatelse til testing utenfor omfanget som er beskrevet her.
Guidelines

Våre forventninger til sikkerhetsforskere

1 Handle forsiktig, i god tro, og begrens testingen til det som er nødvendig for å dokumentere sårbarheten på en reproduserbar måte.
2 Ikke få tilgang til ekte kundedata. Hvis du utilsiktet får tilgang til personlige eller andre sensitive data, stopp testen umiddelbart og varsle oss uten opphold.
3 Ikke endre, slette, eksfiltrere eller publisere noen data.
4 Ikke utfør tester som kan svekke systemer eller tjenester eller redusere tilgjengeligheten deres.
5 Ikke bruk social engineering, phishing, fysiske angrep, og ikke installer bakdører eller persistensmekanismer.
6 Ikke del detaljer offentlig før vi i fellesskap har blitt enige om et koordinert tidspunkt for offentliggjøring.
Rapportering

Slik rapporterer du en sårbarhet

Send en rapport

Vennligst send rapporten din til:

security@password-depot.de

Vennligst inkluder

  • Berørt produkt, versjon, build og komponent
  • Beskrivelse av sårbarheten
  • Trinn for reproduksjon / proof of concept
  • Din vurdering av konsekvenser og alvorlighetsgrad
  • Testmiljø, konfigurasjon og forutsetninger
  • Kontaktinformasjon og eventuelt ønske om navngivelse
Vennligst ikke send unødvendige personopplysninger eller store datasett fra produksjonsmiljøer.

Konfidensialitet

Vi behandler rapporten din og – hvis du ønsker det – identiteten din konfidensielt, i den grad det er juridisk tillatt. Vi publiserer navnet ditt kun med ditt forhåndssamtykke.

Videreformidling av informasjonen din skjer kun i den grad det er nødvendig for gjennomgang, utbedring og koordinert offentliggjøring av sårbarheten, eller for å oppfylle lovpålagte forpliktelser.

Prosess

Hva som skjer etter rapporten din

Mottaksbekreftelse 48 timer Vi bekrefter mottak av rapporten din.
Første vurdering 7 dager Vi informerer deg om vi klassifiserer rapporten som gyldig, duplisert, utenfor omfanget eller for tiden ikke reproduserbar.
Løpende oppdateringer hver 30. dag Vi holder deg informert om fremdriften frem til utbedring eller til den koordinerte offentliggjøringen.
Offentliggjøring

Koordinert offentliggjøring og Security Advisories

Når en sikkerhetsoppdatering eller annen effektiv utbedringstiltak er tilgjengelig, publiserer vi som regel en Security Advisory for bekreftede sårbarheter som krever utbedring.

Dersom umiddelbar publisering ville sette sikkerheten til brukerne våre i fare, kan vi utsette publiseringen til et passende tidspunkt.

En advisory inneholder som minimum

  • En beskrivelse av sårbarheten
  • Berørte produkter og versjoner
  • Konsekvenser og alvorlighetsgrad
  • Klare anvisninger for utbedring eller risikoreduksjon

Merknad om lovpålagte rapporteringsforpliktelser

Dersom en rapport tyder på en aktivt utnyttet sårbarhet eller en alvorlig sikkerhetshendelse, kan vi være juridisk forpliktet til å oversende nødvendig teknisk informasjon til kompetente myndigheter, det relevante CSIRT og ENISA, samt å varsle berørte brukere.

Vi utleverer kun identiteten din i denne sammenhengen i den grad det er juridisk påkrevd.

Anerkjennelse

Vi tilbyr for tiden ingen økonomiske premier eller bug bounty-utbetalinger, med mindre dette uttrykkelig kunngjøres separat.

Hvis du ønsker det, navngir vi deg etter at sårbarheten er utbedret, i en Security Advisory eller en takksigelse. Vennligst oppgi dette i rapporten din.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Tyskland
E-post: security@password-depot.de
Rapporter en sårbarhet