Benutzeranmeldung

Bitte geben Sie Ihren Benutzernamen und Ihr Passwort ein, um sich an der Website anzumelden.

Anmelden

Responsible Disclosure

Richtlinien für eine verantwortungsvolle Offenlegung 

Die Sicherheit unserer Systeme und Produkte ist uns ein großes Anliegen und hat höchste Priorität. Trotz aller Bemühungen, die wir in unsere Technologien investieren, kann es trotzdem zu Schwachstellen kommen. Sollten Schwachstellen entdeckt werden, freuen wir uns über eine Benachrichtigung. 

Spielregeln 

Informationen über das Sicherheitsproblem bitte nicht mit Dritten teilen, bis das Problem gelöst ist.
Bitte um Information, wie und wann die Schwachstelle oder Störung auftritt.
Bitte um deutliche Beschreibung, wie dieses Problem reproduziert werden kann und Übermittlung von Informationen über das verwendete Verfahren und den Zeitpunkt der Untersuchung. 

Wir bitten um verantwortungsbewussten Umgang mit dem Wissen über das Sicherheitsproblem. Es sind keinerlei Handlungen vorzunehmen, die darüber hinausgehen, was notwendig ist, um das Sicherheitsproblem kenntlich zu machen. Schwachstellen sollen nicht bösartig ausgenützt werden und es dürfen auch keine vertraulichen Daten gespeichert werden, die aufgrund der Schwachstelle im System erlangt wurden. 

Bei Bedarf können Kontaktdaten (E-Mail-Adresse oder Telefonnummer) hinterlassen werden, damit wir zur Beurteilung und zum Fortschritt bei der Beseitigung der Schwachstelle Kontakt aufnehmen können. Wir nehmen auch anonyme Meldungen ernst. 

Unsere Richtlinien zur verantwortungsvollen Offenlegung stellen keine Aufforderung dar, unser Firmennetzwerk umfassend aktiv auf Schwachstellen zu überprüfen. Wir überwachen unsere Netzwerke selbst.  

Eine Veröffentlichung des Problems darf, wenn dann nur in Absprache mit der Unternehmensgruppe erfolgen.  

Außerhalb des Geltungsbereichs der Richtlinie 

Die im Folgenden genannten Sicherheitslücken sind nicht gemäß der Richtlinie zur verantwortungsvollen Offenlegung einzureichen. Sicherheitslücken außerhalb des Geltungsbereichs der Richtlinie sind: 

  • Physische Angriffe gegen Rechenzentren oder Eigentum der Unternehmensgruppe 
  • Social Engineering Angriffe die auf Mitarbeiter oder Kunden abzielen (zum Beispiel: das Fälschen von Anmeldeseiten, Kundenservice, Social Media) 
  • Verbreitung von Spam 
  • Denial of Service Angriffe 
  • Fehlende HTTP Security Header ohne spezifische Auswirkungen 
  • Fehler die nur durch Clickjacking ausnutzbar sind 
  • Self-XSS 
  • Schwachstellen die eine unwahrscheinliche Benutzerinteraktion erfordern (zum Beispiel: Deaktivierung von Browserschutzmaßnahmen) 
  • Offenlegung von Informationen die als öffentlich markiert sind 
  • Angriffe die einen Man-in-the-Middle erfordern 

Was von uns erwartet werden kann 

Wenn man sich dafür entscheidet, Kontaktinformationen mit uns zu teilen, verpflichten wir uns, so offen und so schnell wie möglich diese Informationen abzustimmen. 

Wir garantieren eine Rückmeldung innerhalb von 5 Werktagen. 

Wir sind bestrebt, auch in der Zwischenzeit über den Fortschritt bei der Lösung des Problems zu informieren. 

Wir behandeln alle Meldung vertraulich und teilen personenbezogene Informationen nicht ohne Zustimmung mit Dritten, es sei denn, dies ist gesetzlich oder aufgrund eines Gerichtsurteils vorgeschrieben. 

Wir werden gemeinsam entscheiden, ob und wie über das gemeldete Problem berichtet wird.  

Offenlegung von Sicherheitslücken

Zur Offenlegung einer möglichen Sicherheitslücke sende die Informationen bitte an folgende Adresse:

disclosure@cal.at

Wir danken für die Unterstützung unsere Services und Daten bestmöglich zu schützen.