Vulnerability Disclosure Policy

Samordnad rapportering av sårbarheter

Coordinated Vulnerability Disclosure / VDP för Password Depot

Gäller från: 10 mars 2026

Rapportera en sårbarhet Security Advisories
Safe Harbor Omfattning 48h Bekräftelse Coordinated Disclosure
Syfte och omfattning

Syftet med denna policy

AceBIT GmbH välkomnar rapporter om säkerhetsbrister i Password Depot och i tillhörande produktrelaterade webbtjänster som drivs av AceBIT. Denna policy beskriver hur säkerhetsforskare kan rapportera potentiella sårbarheter, vilka regler som gäller vid säkerhetsforskning och vilka åtaganden AceBIT gör inom ramen för samordnat offentliggörande.

Rapporter kan lämnas på tyska eller engelska.

Omfattning

  • Password Depot Enterprise Server
  • Password Depot Windows Client
  • Password Depot macOS Client
  • Password Depot Linux Client
  • Browser Extension (Chrome, Edge, Firefox)
  • Mobile Apps (iOS, Android)
  • Produktrelaterade webbtjänster under password-depot.de

Inklusive tredjepartskomponenter i den mån de ingår i ovan nämnda produkter.

Omfattas inte

  • Produktiva kundmiljöer, kundspecifika installationer och andra tredjepartssystem
  • Tjänster eller infrastrukturer som drivs av tredje part och inte ingår i Password Depot
  • Social engineering, nätfiske, fysiska attacker, spam, brute force, credential stuffing, massskanningar eller denial-of-service-tester
Safe Harbor

Safe Harbor

Om du agerar i god tro, följer denna policy, begränsar dina tester till den ovan beskrivna omfattningen och inte läser, ändrar, raderar, exfiltrerar data eller skadar tjänster, avstår vi -- i den mån det är juridiskt tillåtet -- från civilrättsliga anspråk med anledning av sådan säkerhetsforskning.

I den mån det ligger inom vår kontroll och är juridiskt tillåtet kommer vi inte heller att polisanmäla sådan säkerhetsforskning.

Detta gäller inte för handlingar utanför den angivna omfattningen, tester mot kund- eller andra tredjepartssystem, dataskyddsöverträdelser, driftstörningar eller andra överträdelser av tillämplig lag.

Denna policy ger inte tillstånd för tester utanför den här beskrivna omfattningen.
Guidelines

Våra förväntningar på säkerhetsforskare

1 Agera noggrant, i god tro och begränsa dina tester till vad som är nödvändigt för att påvisa sårbarheten på ett reproducerbart sätt.
2 Kom inte åt verkliga kunddata. Om du oavsiktligt får tillgång till personuppgifter eller andra känsliga data, avbryt testet omedelbart och meddela oss utan dröjsmål.
3 Ändra, radera, exfiltrera eller publicera inga data.
4 Utför inga tester som kan skada system eller tjänster eller försämra deras tillgänglighet.
5 Använd inte social engineering, nätfiske, fysiska attacker och installera inga bakdörrar eller persistensmekanismer.
6 Dela inte detaljer offentligt innan vi gemensamt har enats om ett samordnat offentliggörande.
Rapportering

Så rapporterar du en sårbarhet

Skicka rapport

Vänligen skicka din rapport till:

security@password-depot.de

Vänligen inkludera

  • Berörd produkt, version, build och komponent
  • Beskrivning av sårbarheten
  • Steg för att reproducera / proof of concept
  • Din bedömning av påverkan och allvarlighetsgrad
  • Testmiljö, konfiguration och förutsättningar
  • Kontaktuppgifter och eventuell önskan om namngivning
Vänligen skicka inte onödiga personuppgifter eller stora datamängder från produktionsmiljöer.

Konfidentialitet

Vi behandlar din rapport och -- om du önskar -- din identitet konfidentiellt, i den mån det är juridiskt tillåtet. Vi publicerar ditt namn endast med ditt föregående samtycke.

Vidarebefordran av dina uppgifter sker endast i den mån det är nödvändigt för granskning, åtgärdande och samordnat offentliggörande av sårbarheten eller för att uppfylla lagstadgade skyldigheter.

Process

Vad som händer efter din rapport

Mottagningsbekräftelse 48 timmar Vi bekräftar mottagandet av din rapport.
Första bedömning 7 dagar Vi meddelar dig om vi klassificerar rapporten som giltig, duplicerad, utanför omfattningen eller för närvarande inte reproducerbar.
Löpande uppdateringar var 30:e dag Vi håller dig informerad om ärendets status fram till åtgärd eller samordnat offentliggörande.
Offentliggörande

Samordnat offentliggörande och Security Advisories

Så snart en säkerhetsuppdatering eller annan effektiv åtgärd finns tillgänglig publicerar vi normalt en Security Advisory för bekräftade och åtgärdsrelevanta sårbarheter.

Om en omedelbar publicering skulle äventyra säkerheten för våra användare kan vi skjuta upp publiceringen till en lämplig tidpunkt.

En Advisory innehåller minst

  • En beskrivning av sårbarheten
  • Berörda produkter och versioner
  • Påverkan och allvarlighetsgrad
  • Tydliga anvisningar för åtgärd eller riskreducering

Information om lagstadgade rapporteringsskyldigheter

Om en rapport tyder på en aktivt utnyttjad sårbarhet eller en allvarlig säkerhetsincident kan vi vara juridiskt skyldiga att överlämna nödvändig teknisk information till behöriga myndigheter, ansvarigt CSIRT och ENISA samt att informera berörda användare.

Din identitet lämnar vi i detta sammanhang endast ut i den mån det är juridiskt nödvändigt.

Erkännande

Vi erbjuder för närvarande inga ekonomiska belöningar eller bug bounty-utbetalningar, såvida detta inte uttryckligen meddelas separat.

Om du önskar nämner vi dig vid namn efter att sårbarheten har åtgärdats i en Security Advisory eller ett tack. Vänligen meddela oss detta i samband med din rapport.

AceBIT GmbH Schleiermacherstr. 10 · 64283 Darmstadt · Tyskland
E-post: security@password-depot.de
Rapportera en sårbarhet