Login
Kostenfreie Registrierung

Demo buchen

Richtlinie zur Erkennung von Sicherheitslücken

IEinführung

OnePlan Limited verpflichtet sich, die Sicherheit der Öffentlichkeit zu gewährleisten, indem es ihre Informationen vor ungerechtfertigter Offenlegung schützt. Der Zweck dieser Richtlinie besteht darin, Sicherheitsforschern klare Richtlinien für die Durchführung von Aktivitäten zur Erkennung von Schwachstellen an die Hand zu geben und unsere Präferenzen darüber mitzuteilen, wie wir entdeckte Schwachstellen an uns übermitteln.

Diese Richtlinie beschreibt die abgedeckten Systeme und Arten der Forschung durch diese Richtlinie, wie senden Schwachstellenmeldungen an uns und Wie lang Wir bitten Sicherheitsforscher, mit der öffentlichen Offenlegung von Schwachstellen zu warten.

Wir möchten, dass Sicherheitsforscher sich wohl fühlen, wenn sie von ihnen entdeckte Schwachstellen melden – wie in dieser Richtlinie dargelegt –, damit wir sie beheben und die Sicherheit unserer Benutzer gewährleisten können. Wir haben diese Richtlinie entwickelt, um unsere Werte widerzuspiegeln und unser Verantwortungsbewusstsein gegenüber Sicherheitsforschern zu wahren, die ihr Fachwissen in gutem Glauben mit uns teilen.

Authorization

Wenn Sie sich bei Ihrer Sicherheitsrecherche nach Treu und Glauben bemühen, diese Richtlinie einzuhalten, betrachten wir Ihre Recherche als autorisiert und arbeiten mit Ihnen zusammen, um das Problem schnell zu verstehen und zu lösen OnePlan Limited wird keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung empfehlen oder einleiten.

GRichtlinien

Für die Zwecke dieser Richtlinie bezeichnet der Begriff „Forschung“ Aktivitäten, bei denen Sie:

  • Informieren Sie uns so schnell wie möglich, nachdem Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt haben.
  • Tun Sie alles, um Datenschutzverletzungen, eine Beeinträchtigung des Benutzererlebnisses, Störungen von Produktionssystemen sowie die Zerstörung oder Manipulation von Daten zu vermeiden.
  • Nutzen Sie Exploits nur in dem Umfang, der erforderlich ist, um das Vorhandensein einer Schwachstelle zu bestätigen. Verwenden Sie einen Exploit nicht, um Daten zu kompromittieren oder zu exfiltrieren, einen Befehlszeilenzugriff und/oder eine Persistenz einzurichten oder den Exploit für einen „Pivot“ auf andere Systeme zu verwenden.
  • Sie geben uns eine angemessene Zeit, um das Problem zu lösen, bevor Sie es öffentlich bekannt geben.
  • Sie werden die Privatsphäre oder Sicherheit von nicht absichtlich gefährden OnePlan Begrenztes Personal oder Dritte.
  • Sie gefährden nicht absichtlich das geistige Eigentum oder andere kommerzielle oder finanzielle Interessen anderer OnePlan Begrenztes Personal oder Unternehmen oder Dritte.

Sobald Sie das Vorhandensein einer Sicherheitslücke festgestellt haben oder auf sensible Daten gestoßen sind (einschließlich persönlich identifizierbarer Informationen, Finanzinformationen, geschützter Informationen oder Geschäftsgeheimnissen einer Partei), Sie müssen Ihre Tests beenden, uns unverzüglich benachrichtigen und dürfen diese Daten niemandem mitteilen.

Szurechtkommen

TSeine Richtlinie gilt für die folgenden Systeme und Dienste:

oneplanVeranstaltungen. com

eventtwin.com

Systeme und Dienste, die direkt damit verbunden sind Domains und Subdomains Die oben aufgeführten Maßnahmen sind im Umfang enthalten. Darüber hinaus wird jede Website, die mit einem Link zu dieser Richtlinie veröffentlicht wird, in den Geltungsbereich einbezogen. Websites, die hier nicht ausdrücklich aufgeführt oder mit einem Link zu dieser Richtlinie veröffentlicht sind, fallen nicht in den Geltungsbereich dieser Richtlinie. In den Systemen unserer Anbieter entdeckte Schwachstellen fallen nicht in den Geltungsbereich dieser Richtlinie und sollten dem Anbieter gemäß seiner Offenlegungsrichtlinie (falls vorhanden) direkt gemeldet werden. Wenn Sie nicht sicher sind, ob ein System oder Endpunkt im Geltungsbereich liegt oder nicht, wenden Sie sich an [E-Mail geschützt] bevor Sie mit Ihrer Recherche beginnen, oder wenden Sie sich an den Sicherheitskontakt für den im .com WHOIS aufgeführten Domainnamen des Systems.

Obwohl wir andere Systeme oder Dienste entwickeln und warten, die über das Internet zugänglich sind, bitten wir darum, dass aktive Forschung und Tests nur an den Systemen und Diensten durchgeführt werden, die in den Geltungsbereich dieses Dokuments fallen. Wenn Sie der Meinung sind, dass ein System, das nicht in diesem Dokument behandelt wird, einen Test wert ist, kontaktieren Sie uns bitte, um dies im Voraus zu besprechen. Wir werden den Umfang dieser Richtlinie im Laufe der Zeit erweitern.

Das [E-Mail geschützt] Die E-Mail-Adresse dient NUR der Meldung von Sicherheitsmängeln bei Produkten oder Dienstleistungen. Sie werden nicht dazu verwendet, technische Supportinformationen für unsere Produkte oder Dienstleistungen zu erhalten. Andere Inhalte als solche, die sich auf Sicherheitsmängel unserer Produkte oder Dienstleistungen beziehen, werden nicht verarbeitet.

RRegeln des Engagements

SSicherheitsforscher dürfen nicht:

  • Testen Sie jedes andere System als die im Abschnitt „Umfang“ oben aufgeführten Systeme.
  • Informationen zu Sicherheitslücken offenlegen, außer wie in den Abschnitten „Melden einer Sicherheitslücke“ und „Offenlegung“ weiter unten dargelegt,
  • sich an physischen Tests von Einrichtungen oder Ressourcen beteiligen,
  • sich mit Social Engineering beschäftigen,
  • Senden Sie unerwünschte E-Mails an Benutzer von OnePlan Begrenzt, einschließlich „Phishing“-Nachrichten,
  • „Denial of Service“- oder „Resource Exhaustion“-Angriffe durchführen oder versuchen, diese durchzuführen,
  • Einführung schädlicher Software,
  • Führen Sie Tests auf eine Weise durch, die den Betrieb beeinträchtigen kann OnePlan Begrenzte Systeme; oder absichtlich verändern, stören oder deaktivieren OnePlan Begrenzte Systeme,
  • Testen Sie Anwendungen, Websites oder Dienste von Drittanbietern, die sich integrieren oder mit diesen verknüpfen OnePlan Begrenzte Systeme,
  • löschen, ändern, teilen, aufbewahren oder zerstören OnePlan Begrenzte Daten oder Rendering OnePlan Begrenzte Daten nicht zugänglich oder
  • Verwenden Sie einen Exploit, um Daten zu exfiltrieren, einen Befehlszeilenzugriff einzurichten und eine dauerhafte Präsenz aufzubauen OnePlan Begrenzte Systeme oder „Pivot“ auf andere OnePlan Begrenzte Systeme.

SSicherheitsforscher können:

  • Ansehen oder speichern OnePlan Begrenzte nicht öffentliche Daten nur in dem Umfang, der erforderlich ist, um das Vorhandensein einer potenziellen Schwachstelle zu dokumentieren.

SSicherheitsforscher müssen:

  • Stellen Sie den Test ein und benachrichtigen Sie uns unverzüglich, wenn eine Schwachstelle entdeckt wird.
  • Stellen Sie die Tests ein und benachrichtigen Sie uns unverzüglich, wenn festgestellt wird, dass nicht öffentliche Daten offengelegt werden, und
  • Löschen Sie alle gespeicherten Daten OnePlan Begrenzte nicht öffentliche Daten bei der Meldung einer Schwachstelle.

RMelden einer Sicherheitslücke

Wir akzeptieren Schwachstellenmeldungen unter [E-Mail geschützt] . Meldungen können anonym eingereicht werden. Wir unterstützen derzeit keine PGP-verschlüsselten E-Mails.

Um uns das Management der Schwachstelle zu erleichtern, erwarten wir einige gut verfasste Berichte in Englisch oder Französisch mit den folgenden Informationen:

  • Uhrzeit und Datum der Entdeckung
  • Produktmodell und -nummer unter Verwendung der Herstellernomenklatur, wenn möglich
  • URL, Browserinformationen einschließlich Typ und Version sowie Eingaben, die zur Reproduktion der Sicherheitslücke erforderlich sind;
  • Technische Beschreibung: Geben Sie so detailliert wie möglich an, welche Aktionen durchgeführt wurden, und geben Sie das Ergebnis an.
  • Beispielcode: Geben Sie nach Möglichkeit Code an, der beim Testen zur Erstellung der Schwachstelle verwendet wurde.
  • Kontaktinformationen der berichtenden Partei – beste Methode, um sie zu erreichen
  • Offenlegungsplan(e) – aktueller Offenlegungsplan;
  • Bedrohungs-/Risikobewertung – enthält Einzelheiten zu den identifizierten Bedrohungen und/oder Risiken, einschließlich einer Risikostufe (hoch, mittel, niedrig) für das Bewertungsergebnis;
  • Softwarekonfiguration – Details zur Computer-/Gerätekonfiguration zum Zeitpunkt der Sicherheitslücke;
  • Relevante Informationen über verbundene Geräte, falls während der Interaktion eine Sicherheitslücke entsteht. Wenn ein sekundäres Gerät die Sicherheitslücke auslöst, sollten diese Details bereitgestellt werden.

Bitte geben Sie in Ihren Berichten keine personenbezogenen Daten an, es sei denn, dies ist für die Kontaktaufnahme erforderlich.

Durch die Teilnahme an diesem Programm erhalten Sie keinerlei Rechte an geistigem Eigentum von OnePlan Limited oder Dritte.

Die im Rahmen dieser Richtlinie übermittelten Informationen werden nur zu Verteidigungszwecken verwendet – um Schwachstellen zu mindern oder zu beheben. Wenn Ihre Ergebnisse neu entdeckte Schwachstellen umfassen, die alle Benutzer eines Produkts oder einer Dienstleistung betreffen und nicht nur OnePlan Begrenzt können wir Ihre Meldung an die National Agency for the Security of Information Systems (ANSSI) weitergeben, wo sie im Rahmen ihres koordinierten Prozesses zur Offenlegung von Sicherheitslücken bearbeitet wird. Wir geben Ihren Namen oder Ihre Kontaktinformationen nicht ohne ausdrückliche Genehmigung weiter.

Indem Sie uns einen Bericht senden, erklären Sie, dass Sie die in dieser Richtlinie beschriebenen Richtlinien gelesen und verstanden haben und ihnen zustimmen für die Durchführung von Sicherheitsforschung und die Offenlegung von damit verbundenen Schwachstellen oder Schwachstellenindikatoren OnePlan Eingeschränkte Informationssysteme und Zustimmung zur Speicherung der Inhalte der Kommunikation und der Folgekommunikation in einem EU-Informationssystem.

Um uns bei der Auswahl und Priorisierung von Einreichungen zu helfen, empfehlen wir, dass Ihre Berichte:

  • Beachten Sie alle rechtlichen Bestimmungen und Bedingungen, die unter aufgeführt sind OnePlan Nutzungsbedingungen für Limited Responsible Disclosure. (muss in Ihrer E-Mail angegeben werden)
  • Beschreiben Sie die Schwachstelle, den Ort, an dem sie entdeckt wurde, und die möglichen Auswirkungen der Ausnutzung.
  • Bieten Sie eine detaillierte Beschreibung der Schritte an, die zur Reproduktion der Schwachstelle erforderlich sind (Proof-of-Concept-Skripte oder Screenshots sind hilfreich).

Disclosure

OnePlan Limited ist bestrebt, Schwachstellen umgehend zu beheben. Wir sind uns jedoch darüber im Klaren, dass die öffentliche Offenlegung einer Schwachstelle ohne sofort verfügbare Korrekturmaßnahmen das Risiko wahrscheinlich eher erhöht als verringert. Daher verlangen wir, dass Sie 90 Kalendertage nach Erhalt unserer Bestätigung Ihrer Meldung keine Informationen über entdeckte Schwachstellen weitergeben. Wenn Sie der Meinung sind, dass andere von der Sicherheitslücke erfahren müssen, bevor wir Korrekturmaßnahmen ergreifen, bitten wir Sie, sich vorher mit uns in Verbindung zu setzen.

Wir können Schwachstellenberichte an die National Agency for the Security of Information Systems (ANSSI) sowie alle betroffenen Anbieter weitergeben. Wir geben Namen oder Kontaktdaten von Sicherheitsforschern nicht weiter, es sei denn, es liegt eine ausdrückliche Genehmigung vor.

Fragen

Fragen zu dieser Richtlinie können an gesendet werden [E-Mail geschützt] . Wir laden Sie außerdem ein, uns mit Vorschlägen zur Verbesserung dieser Richtlinie zu kontaktieren.

Abonnieren Sie unseren Newsletter

Hilfe

Firma

USA-Adresse

1968 S.Coast Highway Nr. 365
Laguna Beach CA 92651

UK-Adresse

Kemp Haus
152 – 160 Stadtstraße
London, EC1V 2NX
Französisch Flagge

oneplanevents.fr

USA-Adresse

1968 S.Coast Highway Nr. 365
Laguna Beach CA 92651

UK-Adresse

Kemp Haus
152 – 160 Stadtstraße
London, EC1V 2NX
AWS-Partner
OnePlan ist ein Beamter
Partner von AWS
MIT Sloan Sports Analytics-Konferenz
Bestes Start-up 2023
Auszeichnungen für Veranstaltungstechnik

Beste Event-Management-Plattform
Beste Festival-Technologie

Beste Veranstaltungsort- und Betriebstechnologie 2022
Beste Veranstaltungsortbetriebstechnologie 2024
© OnePlan 2024 Alle Rechte vorbehalten |
Linkedin-in Instagram Facebook-f Youtube
Auszeichnungen für Veranstaltungstechnik
Beste Event-Management-Plattform
Beste Festival-Technologie
Auszeichnungen für Sporttechnologie
Beste Veranstaltungsort- und Betriebstechnologie 2022
Inhalte
Inhalte
Inhalte
Inhalte
Inhalte
Inhalte
Inhalte
Inhalte