Responsible Disclosure¶
Kurzfassung: Sicherheitsforscher, die nach den unten genannten Regeln arbeiten, werden von solvevo nicht juristisch verfolgt. Wir antworten innerhalb von 72 Stunden.
Wie melden Sie eine Sicherheitsluecke?¶
Schreiben Sie an security@solvevo-it.com mit folgendem Inhalt:
- Beschreibung der Schwachstelle (Was, Wo, Wie)
- Reproduktionsschritte
- Auswirkung (Vertraulichkeit / Integritaet / Verfuegbarkeit)
- Optional: Vorschlag zur Behebung
- Optional: Wie Sie genannt werden moechten (Hall of Fame)
Falls Sie eine PGP-Verschluesselung nutzen moechten, finden Sie unseren oeffentlichen Schluessel in der maschinenlesbaren Disclosure-Datei: /.well-known/security.txt.
Was Sie tun duerfen¶
- Schwachstellen in solvevo-eigenen Systemen suchen, dokumentieren, melden
- Proof-of-Concept-Code mit minimalem Wirkbereich erstellen
- Im Rahmen Ihrer eigenen Tenant-Daten testen, wenn Sie Kunde sind
Was Sie nicht tun duerfen¶
- DDoS-Angriffe oder Last-Tests ohne vorherige schriftliche Vereinbarung
- Daten anderer Tenants einsehen, kopieren oder veraendern
- Social Engineering gegen solvevo-Mitarbeiter
- Spam, Phishing, Brute-Force-Angriffe gegen Kunden-Logins
- Veroeffentlichung der Schwachstelle vor unserer Freigabe (Coordinated Disclosure)
Reaktionszeiten¶
| Schritt | Zeitfenster |
|---|---|
| Eingangsbestaetigung | innerhalb 72 Stunden |
| Erste technische Bewertung | innerhalb 7 Tagen |
| Statusupdate | mindestens alle 14 Tage |
| Behebung kritischer Findings | so schnell wie moeglich, in der Regel < 30 Tage |
| Veroeffentlichungs-Freigabe | nach Behebung, in Abstimmung mit dem Forscher |
Anerkennung¶
Wir nehmen sicherheitsrelevante Meldungen ernst. Forscher, die Coordinated Disclosure einhalten, erhalten:
- Namentliche Erwaehnung in unserer Hall of Fame (sofern gewuenscht)
- Schriftliche Bestaetigung der Mitarbeit (z. B. fuer LinkedIn / Lebenslauf)
- Optional ein finanzielles Bug-Bounty bei Findings ab Schweregrad „High" (CVSS 7.0+) — nach individueller Vereinbarung. Wir betreiben kein automatisches Bounty-Programm, sind aber zu Anerkennung bereit.
Hall of Fame¶
| Forscher | Datum | Anerkennung |
|---|---|---|
| Noch keine Eintraege — wir freuen uns auf Ihre Meldung. |
security.txt¶
Die maschinenlesbare Disclosure-Konfiguration liegt unter:
https://trust.solvevo.one/.well-known/security.txt
https://one.solvevo-it.com/.well-known/security.txt
Format: RFC 9116.
Rechtlicher Rahmen¶
solvevo verpflichtet sich, gegen Forscher, die diese Richtlinie einhalten und in gutem Glauben handeln, keine zivilrechtlichen oder strafrechtlichen Schritte einzuleiten. Diese Zusage gilt nicht bei nachweislichem Vorsatz zur Schaedigung Dritter, bei Datenverkauf, Erpressung oder Verstoss gegen die hier genannten Regeln.
Wir folgen damit der Praxis nach Hacker-Paragraph 202c StGB und der DSGVO-konformen Sicherheitsforschung im Sinne der CISA Vulnerability Disclosure Policy Template.