Vulnerability Disclosure Policy

Skoordynowane ujawnianie podatności

Coordinated Vulnerability Disclosure / VDP dla Password Depot

Obowiązuje od: 10 marca 2026

Zgłoś podatność Security Advisories
Safe Harbor Zakres Potwierdzenie w 48h Coordinated Disclosure
Cel i zakres

Cel niniejszej polityki

AceBIT GmbH z zadowoleniem przyjmuje zgłoszenia dotyczące luk bezpieczeństwa w Password Depot oraz w powiązanych usługach internetowych utrzymywanych przez AceBIT. Niniejsza polityka opisuje, w jaki sposób badacze bezpieczeństwa mogą zgłaszać potencjalne podatności, jakie zasady obowiązują podczas badań bezpieczeństwa oraz jakie zobowiązania podejmuje AceBIT w ramach skoordynowanego ujawniania.

Zgłoszenia można składać w języku niemieckim lub angielskim.

Zakres

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Usługi internetowe związane z produktem pod adresem password-depot.de

W tym komponenty firm trzecich, o ile stanowią część wymienionych powyżej produktów.

Poza zakresem

  • Produkcyjne środowiska klientów, instalacje niestandardowe oraz inne systemy podmiotów trzecich
  • Usługi lub infrastruktury obsługiwane przez podmioty trzecie, które nie stanowią części Password Depot
  • Social engineering, phishing, ataki fizyczne, spam, brute force, credential stuffing, masowe skanowanie lub testy typu denial-of-service
Safe Harbor

Safe Harbor

Jeśli działasz w dobrej wierze, przestrzegasz niniejszej polityki, ograniczasz swoje testy do opisanego powyżej zakresu i nie odczytujesz, nie modyfikujesz, nie usuwasz, nie eksiltrujesz danych ani nie zakłócasz działania usług, to – w zakresie dopuszczalnym prawnie – powstrzymamy się od roszczeń cywilnoprawnych związanych z takimi badaniami bezpieczeństwa.

W zakresie, w jakim leży to w naszej gestii i jest prawnie dopuszczalne, nie będziemy również składać zawiadomień o popełnieniu przestępstwa w związku z takimi badaniami bezpieczeństwa.

Powyższe nie dotyczy działań wykraczających poza zakres, testów przeciwko systemom klientów lub innym systemom podmiotów trzecich, naruszeń ochrony danych osobowych, zakłóceń operacyjnych ani innych naruszeń obowiązującego prawa.

Niniejsza polityka nie stanowi zezwolenia na przeprowadzanie testów wykraczających poza opisany tutaj zakres.
Guidelines

Nasze oczekiwania wobec badaczy bezpieczeństwa

1 Działaj starannie, w dobrej wierze i ograniczaj testy do minimum niezbędnego do powtarzalnego udokumentowania podatności.
2 Nie uzyskuj dostępu do rzeczywistych danych klientów. Jeśli przypadkowo uzyskasz dostęp do danych wrażliwych, natychmiast przerwij test i niezwłocznie nas poinformuj.
3 Nie modyfikuj, nie usuwaj, nie eksfiltruj ani nie publikuj żadnych danych.
4 Nie przeprowadzaj testów, które mogłyby zakłócić działanie systemów lub usług bądź pogorszyć ich dostępność.
5 Nie stosuj social engineeringu, phishingu, ataków fizycznych ani nie instaluj backdoorów czy mechanizmów persystencji.
6 Nie udostępniaj szczegółów publicznie, dopóki wspólnie nie uzgodnimy skoordynowanego terminu ujawnienia.
Zgłoszenie

Jak zgłosić lukę bezpieczeństwa

Wyślij zgłoszenie

Prosimy o wysłanie zgłoszenia na adres:

security@password-depot.de

Prosimy o dołączenie

  • Nazwa produktu, wersja, numer kompilacji i komponent
  • Opis podatności
  • Kroki do odtworzenia / Proof of Concept
  • Ocena wpływu i stopnia zagrożenia
  • Środowisko testowe, konfiguracja i wymagania wstępne
  • Dane kontaktowe oraz ewentualne życzenie wymienienia z nazwiska
Prosimy nie przesyłać zbędnych danych osobowych ani dużych zbiorów danych ze środowisk produkcyjnych.

Poufność

Twoje zgłoszenie oraz – jeśli sobie tego życzysz – Twoją tożsamość traktujemy poufnie, w zakresie dopuszczalnym prawnie. Twoje nazwisko publikujemy wyłącznie za Twoją uprzednią zgodą.

Przekazanie Twoich danych następuje wyłącznie w zakresie niezbędnym do weryfikacji, naprawy i skoordynowanego ujawnienia podatności lub do wypełnienia obowiązków prawnych.

Proces

Co dzieje się po Twoim zgłoszeniu

Potwierdzenie odbioru 48 godzin Potwierdzamy odbiór Twojego zgłoszenia.
Wstępna ocena 7 dni Informujemy, czy zgłoszenie zostało zakwalifikowane jako zasadne, zduplikowane, poza zakresem lub aktualnie nieodtwarzalne.
Bieżące aktualizacje co 30 dni Informujemy o postępach aż do naprawy lub do skoordynowanego ujawnienia.
Ujawnienie

Skoordynowane ujawnianie i Security Advisories

Po udostępnieniu aktualizacji bezpieczeństwa lub innego skutecznego środka zaradczego publikujemy z reguły Security Advisory dla potwierdzonych podatności wymagających naprawy.

Jeśli natychmiastowa publikacja mogłaby zagrozić bezpieczeństwu naszych użytkowników, możemy odroczyć publikację do odpowiedniego momentu.

Advisory zawiera co najmniej

  • Opis podatności
  • Dotknięte produkty i wersje
  • Wpływ i stopień zagrożenia
  • Jasne wskazówki dotyczące naprawy lub łagodzenia skutków

Informacja o ustawowych obowiązkach zgłoszeniowych

Jeśli zgłoszenie wskazuje na aktywnie wykorzystywaną podatność lub poważny incydent bezpieczeństwa, możemy być prawnie zobowiązani do przekazania niezbędnych informacji technicznych właściwym organom, odpowiedniemu CSIRT i ENISA oraz do powiadomienia poszkodowanych użytkowników.

Twoją tożsamość ujawniamy w takim przypadku wyłącznie w zakresie wymaganym przez prawo.

Podziękowania

Obecnie nie oferujemy nagród finansowych ani wypłat w ramach programu bug bounty, chyba że zostanie to wyraźnie osobno ogłoszone.

Na Twoje życzenie wymienimy Cię z nazwiska po naprawieniu podatności w Security Advisory lub w sekcji podziękowań. Prosimy o poinformowanie nas o tym przy składaniu zgłoszenia.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Niemcy
E-mail: security@password-depot.de
Zgłoś podatność