Policy

Scope

Alle öffentlich zugänglichen digitalen Assets, die der gibb (Berufsfachschule Bern) gehören, von ihr betrieben oder unterhalten werden.

Out of Scope

Bitte beachten Sie, dass wir für einige Teile unserer Systeme und Infrastruktur Dienstleistungen anderer Unternehmen und/oder Organisationen in Anspruch nehmen.

Schwachstellen, die in diesen Systemen entdeckt oder vermutet werden, sollten der entsprechenden Einrichtung, dem Anbieter oder der zuständigen Behörde gemeldet werden. Andernfalls werden wir die betreffende Organisation auf die Schwachstelle aufmerksam machen, der Eigentümer des betroffenen IT-Systems bleibt jedoch für das System und mögliche Abhilfemassnahmen verantwortlich.

Unsere Verpflichtung

Wenn Sie mit uns zusammenarbeiten, können Sie von uns Folgendes erwarten:

• Rechtzeitige Reaktion und Bestätigung des Empfangs Ihrer Schwachstellenmeldung

• Zusammenarbeit mit Ihnen, um Ihre Meldung zu verstehen und zu validieren

• Offener Dialog zur Erörterung von Problemen

• Zeitnahe Behebung von entdeckten Schwachstellen

• Angabe eines geschätzten Zeitrahmens für die Behebung der Schwachstellenmeldung

• Bestreben, Sie während der Bearbeitung einer Schwachstelle auf dem Laufenden zu halten

• Benachrichtigung, wenn die Schwachstelle behoben wurde

• Anerkennung Ihres Beitrags, wenn Sie die erste Person sind, die eine einzigartige Schwachstelle meldet, und Ihre Meldung eine Code- oder Konfigurationsänderung auslöst.

• Eine rechtliche Absicherung für Ihre Schwachstellenforschung im Zusammenhang mit dieser Richtlinie bieten

Unsere Erwartungen

Wenn Sie an unserem Programm zur Offenlegung von Sicherheitslücken teilnehmen, bitten wir Sie um Folgendes:

• Halten Sie sich an die in dieser Richtlinie beschriebenen Regeln und Anweisungen

• Verstossen Sie im Zusammenhang mit Ihrer Meldung und Ihrer Interaktion mit uns nicht gegen geltende Gesetze

• Melden Sie jede von Ihnen entdeckte Schwachstelle umgehend

• Nutzen Sie die entdeckten Schwachstellen nicht aus und verwenden Sie sie nicht auf andere Weise als zum Zweck der Meldung an uns

• Vermeiden Sie die Verletzung der Privatsphäre anderer, die Störung unserer Systeme, die Zerstörung von Daten oder die Beeinträchtigung der Benutzererfahrung

• Verwenden Sie nur die offiziellen Offenlegungskanäle, um Informationen über Schwachstellen mit uns zu besprechen

• Stellen Sie die Vertraulichkeit der Details aller entdeckten Schwachstellen gemäss dieser Richtlinie sicher

• Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten ermöglicht: Beschränken Sie die Menge der Daten, auf die Sie zugreifen, auf das Minimum, das für die effektive Demonstration eines Proof of Concept erforderlich ist; stellen Sie die Tests ein und reichen Sie sofort einen Bericht ein

• Sie sollten nur mit Testkonten interagieren, die Ihnen gehören oder für die Sie die ausdrückliche Erlaubnis des Kontoinhabers haben

• Lassen Sie sich nicht auf Erpressung ein

• Geben Sie uns eine angemessene Zeit, um das Problem zu lösen

• Stimmen Sie sich mit uns ab, bevor Sie Sicherheitslücken öffentlich bekannt geben

Gibb erlaubt keine der folgenden Arten von Sicherheitstests

Wir ermutigen Sie zwar, uns alle Schwachstellen, die Sie finden, zu melden, aber das folgende Verhalten ist verboten:

• Durchführung von Handlungen, die sich negativ auf unsere Systeme oder unsere Kunden auswirken können (z. B. Phishing, Spam, Brute Force, Denial of Service usw.)

• Zerstörung oder Beschädigung von Daten oder Informationen, die Ihnen nicht gehören, oder der Versuch, diese zu zerstören oder zu beschädigen

• Durchführung jeglicher Art von physischen oder elektronischen Angriffen auf unser Personal, unser Eigentum, unsere Gebäude oder unsere Infrastruktur

• Social Engineering unserer Mitarbeiter, Kunden oder Auftragnehmer

Koordinierte Offenlegung von Schwachstellen

Wir schätzen die Bemühungen externer Sicherheitsforscher, die Sicherheitsschwachstellen identifizieren und diese Schwachstellen verantwortungsvoll offenlegen, damit sie behoben werden können. Unsere Politik ist es, die Veröffentlichung zu erlauben, sofern die folgenden Bedingungen erfüllt sind (Coordinated Vulnerability Disclosure):

• Die meldende Person veröffentlicht die Schwachstelle nicht, bevor wir bestätigt haben, dass eine Behebung veröffentlicht wurde und dass die Veröffentlichung zulässig ist

• Eine Veröffentlichung wird immer nach 90 Tagen als zulässig erachtet, wobei eine Koordinierung mit uns vorausgesetzt wird

• Keine Veröffentlichung von genauen Details des Problems, zum Beispiel Exploits oder Proof-of-Concept-Code

Offizielle Kanäle

Bitte melden Sie Sicherheitsprobleme über diese Plattform und geben Sie dabei alle relevanten Informationen an. Senden Sie keine Berichte von automatisierten Tools, ohne sie zu überprüfen. Je mehr der folgenden Details Sie uns zur Verfügung stellen, desto einfacher wird es für uns sein, das Problem einzuteilen und zu beheben:

Technische Beschreibung der Sicherheitslücke, einschliesslich:

• Informationen zum verwendeten Browser (Typ und Version)

• Relevante Informationen zu den angeschlossenen Komponenten und Geräten

• Betroffene Plattform(en) URL(s)

• Beispielcode zur Veranschaulichung der Schwachstelle und/oder detaillierte Schritte zur Reproduktion

• Bedrohungs-/Risikoeinschätzung

• Datum und Uhrzeit der Entdeckung

• Kontaktinformationen

• Mögliche Pläne zur Offenlegung

Bitte beachten Sie, dass diese Kanäle nur für die Meldung von nicht gemeldeten Sicherheitsschwachstellen gedacht sind und nicht für andere Support- oder Informationsanfragen verwendet werden dürfen. Anfragen, die an diese Kanäle gerichtet werden und sich nicht auf nicht gemeldete Sicherheitslücken beziehen, werden nicht beantwortet.

Legal Safe Harbor

• Wir werden keine zivilrechtlichen Schritte einleiten oder bei den Strafverfolgungsbehörden Anzeige gegen Teilnehmer erstatten, die versehentlich und in gutem Glauben gegen diese Richtlinie verstossen.

• Wir interpretieren Aktivitäten von Teilnehmern, die mit der Richtlinie übereinstimmen, als autorisierten Zugang gemäss dem Schweizerischen Strafgesetzbuch. Dies beinhaltet die Paragraphen 143, 143 bis und 144 bis des Schweizerischen Strafgesetzbuches.

• Wir erstatten keine Anzeige gegen Teilnehmer, die versuchen, die Sicherheitsmassnahmen zu umgehen, die zum Schutz der unter diese Richtlinie fallenden Dienste eingesetzt werden.

• Sollte ein Dritter rechtliche Schritte gegen einen Teilnehmer einleiten, der sich an die in diesem Dokument dargelegten Richtlinien gehalten hat, werden wir die erforderlichen Massnahmen ergreifen, um den Behörden mitzuteilen, dass die Handlungen des Teilnehmers im Einklang mit diesen Richtlinien erfolgt sind.

• Bei geringfügigen Verstössen kann eine Verwarnung ausgesprochen werden. Bei schweren Verstössen behalten wir uns das Recht vor, Strafanzeige zu erstatten.

Es wird von Ihnen erwartet, dass Sie wie immer alle geltenden Gesetze einhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder sich nicht sicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte einen Bericht über einen unserer offiziellen Kanäle ein, bevor Sie Ihre Forschung fortsetzen.

Beachten Sie, dass die Safe-Harbor-Richtlinie nur für Rechtsansprüche gilt, die unter der Kontrolle der an dieser Richtlinie beteiligten Organisation stehen, und dass die Richtlinie nicht für unabhängige Dritte bindend ist.