Richtlinie zur Offenlegung von Sicherheitslücken

(Security Policy)

 

Die Sicherheit unserer vernetzten Produkte und der Schutz der Daten unserer Kund:innen haben für uns oberste Priorität. Trotz sorgfältiger Entwicklung und kontinuierlicher Tests lassen sich Sicherheitslücken nie vollständig ausschließen. Wenn eine Schwachstelle in einem unserer Produkte, Systeme oder Dienste entdeckt wurde, danken wir der meldenden Person für die Unterstützung, uns diese vertraulich und koordiniert mitzuteilen.

Schwachstelle melden
Ein Bericht muss direkt an unser Sicherheitsteam gesendet werden. Nachfolgend der Meldeprozess:
+ E-Mail senden: security@multi-cash.at
+ Verschlüsselung: Zum Schutz sensibler Daten muss der Bericht mit unserem öffentlichen PGP-Schlüssel verschlüsselt werden. Der Schlüssel ist im Impressum zu finden.
+ Inhalt der Meldung: Damit das Problem schnell behoben werden kann, ist im Bericht eine klare Beschreibung der Schwachstelle sowie betroffene Produkt- oder Softwareversionen sowie eine Anleitung zur Reproduktion (Proof of Concept) enthalten.

Zusicherung gegenüber meldender Person
Wenn sich meldende Personen an unsere Richtlinien halten, gibt Multi Cash Automation folgende Zusicherung:
+ Wir werden keine rechtlichen Schritte (weder zivil- noch strafrechtlich) gegen die meldende Person einleiten oder veranlassen.
+ Wir behandeln die Identität der meldenden Person auf Wunsch absolut vertraulich.
+ Wir arbeiten mit der meldenden Person transparent zusammen, um das Problem zu lösen.

Voraussetzung für gültige Sicherheitslücke
Eine Sicherheitslücke wird dann als gültig anerkannt, wenn der Bericht folgende Kriterien erfüllt:
+ Die Schwachstelle muss mindestens eines der Produkte oder die Infrastruktur der Multi Cash Automation betreffen.
+ Die Schwachstelle muss sich auf öffentlich noch nicht bekannte Informationen beziehen.
+ Meldungen dürfen nicht ausschließlich das Ergebnis automatisierter Tools oder Scans ohne begleitende Dokumentation sein. E-Mails, bei denen wir vermuten, dass sie automatisch generiert wurden, werden nicht beantwortet.

Verhaltensregeln für meldende Personen
Wir bitten Sie, bei der Suche nach Schwachstellen verantwortungsvoll zu handeln:
+ Kein Schaden: Führen Sie keine Angriffe durch, die den Betrieb unserer Geräte oder Dienste stören (z. B. Denial-of-Service-Angriffe / DoS).
+ Datenschutz: Greifen Sie nicht auf Daten von Dritten (Kund:innen, Partner:innen) zu. Sollten Sie bei der Recherche auf personenbezogene Daten stoßen, brechen Sie den Vorgang ab und löschen Sie diese Daten umgehend.
+ Keine Erpressung: Wir reagieren nicht auf Meldungen, die mit Lösegeldforderungen oder Fristen zur öffentlichen Bloßstellung verbunden sind.
+ Vertraulichkeit: Veröffentlichen Sie keine Details zur Schwachstelle, bevor wir die Möglichkeit hatten, ein Sicherheitsupdate für unsere Kund:innen bereitzustellen (Coordinated Vulnerability Disclosure).

Ablauf der Behebung
Wir nehmen jede Meldung ernst und reagieren nach folgendem Zeitplan:
+ Bestätigung (innerhalb von 72 Stunden): Wir bestätigen den Erhalt des Berichts so schnell wie möglich.
+ Validierung (innerhalb von 10 Tagen): Unser Technik-Team prüft die Schwachstelle und gibt der meldenden Person eine erste Rückmeldung zur Kritikalität.
+ Behebung: Wir arbeiten mit Hochdruck an einem Sicherheitsupdate, die Dauer hängt jedoch von der Komplexität ab. Sobald wir den Prozess auf unserer Seite als abgeschlossen betrachten, wird die meldende Person entsprechend informiert.