Offenlegungs-richtlinien

Diese Richtlinie gilt für alle von Onics A/S angebotenen Produkte und Dienstleistungen.

Onics bietet eine drahtlose IoT-Plattform, mit der Lösungsanbieter ihre eigene Lösung für die häusliche Pflege, Sicherheit, Versicherungstechnik oder Energiemanagement aufbauen können. Unsere ausgereifte IoT-Plattform macht es Ihnen leicht, Ihre benutzerdefinierte Anwendung auf der White-Label-Plattform zu erstellen, da wir Ihnen ein Software-Toolkit mit einer Reihe von Entwicklungswerkzeugen und Softwaremodulen zur Verfügung stellen.

Diese Richtlinie zur Offenlegung von Sicherheitslücken gilt für alle Sicherheitslücken, die Sie uns (Onics A/S) melden möchten. Wir empfehlen, diese Richtlinie zur Offenlegung von Sicherheitslücken vollständig zu lesen, bevor Sie eine Sicherheitslücke melden, und stets entsprechend zu handeln.

Wir schätzen diejenigen, die sich die Zeit und Mühe nehmen, Sicherheitslücken gemäß dieser Richtlinie zu melden. Wir bieten jedoch keine monetären Belohnungen für die Offenlegung von Sicherheitslücken an.

Wenn Sie glauben, eine Sicherheitslücke gefunden zu haben, senden Sie Ihren Bericht bitte per E-Mail an security@onics.com

Bitte geben Sie in Ihrem Bericht Folgendes an:

1. Details zur Sicherheitslücke:
   • Asset (Webadresse, IP-Adresse, Produkt- oder Servicename), bei dem die Sicherheitslücke beobachtet werden kann
   • Schwäche (z. B. CWE) (optional)
   • Schweregrad (z. B. CVSS v3.0) (optional)
   • Titel der Sicherheitslücke (erforderlich)
   • Beschreibung der Sicherheitslücke (diese sollte eine Zusammenfassung, unterstützende Dateien und mögliche Abhilfemaßnahmen oder Empfehlungen enthalten) (erforderlich)
   • Auswirkung (was könnte ein Angreifer tun?) (erforderlich)
   • Schritte zur Reproduktion: Dies sollte ein harmloser, unschädlicher Konzeptnachweis sein. Dies trägt dazu bei, dass der Bericht schnell und genau geprüft werden kann. Es reduziert auch die Wahrscheinlichkeit doppelter Berichte oder die böswillige Ausnutzung einiger Sicherheitslücken, wie z. B. Subdomain-Takeovers

2. Kontaktdetails:
   • Name und E-Mail-Adresse (optional)

Nachdem Sie Ihren Bericht eingereicht haben, werden wir innerhalb von 10 Arbeitstagen antworten und versuchen, Ihren Bericht innerhalb von 20 Arbeitstagen zu prüfen. Wir werden Sie über unsere Fortschritte auf dem Laufenden zu halten.

Die Priorität der Behebung wird anhand der Auswirkungen, des Schweregrads und der Komplexität der Schwachstelle bewertet. Es kann einige Zeit dauern, bis Berichte über Sicherheitslücken geprüft oder behoben sind.

Sie können sich gerne nach dem Status erkundigen, sollten dies jedoch nicht öfter als einmal alle 14 Tage tun. Dadurch können sich unsere Teams auf die Behebung konzentrieren.

Wir werden Sie benachrichtigen, wenn die gemeldete Sicherheitslücke behoben ist, und Sie werden möglicherweise aufgefordert, zu bestätigen, dass die Lösung die Sicherheitsanfälligkeit angemessen abdeckt.

Sobald die Sicherheitslücke behoben ist, freuen wir uns über Anfragen, Ihren Bericht zu veröffentlichen. Wir möchten die Kommunikation mit den betroffenen Anwendern abstimmen, daher koordinieren Sie bitte die Veröffentlichung mit uns.

• Verstoßen Sie nicht gegen geltende Gesetze oder Vorschriften
• Greifen Sie nicht auf unnötige, übermäßige oder erhebliche Datenmengen zu
• Ändern Sie keine Daten in den Systemen oder Diensten der Organisation
• Verwenden Sie keine invasiven oder zerstörerischen Scan-Tools mit hoher Intensität, um Schwachstellen zu finden
• Versuchen oder melden Sie niemals jegliche Form von Dienstverweigerung, z. B. Überwältigung eines Dienstes mit einer hohen Anzahl von Anfragen
• Unterbrechen Sie nicht die Dienste oder Systeme der Organisation