Vulnerabity Disclosure Policy
1. Eingang der Hinweise
Für die Aug. Winkhaus SE & Co. KG steht die Sicherheit ihrer Systeme, ihres Netzwerks, der ihr anvertrauten Kundendaten und ihrer Produkte an oberster Stelle.
Trotz größtmöglicher Sicherheitsvorkehrungen können Schwachstellen bestehen, die entdeckt werden. Die Aug. Winkhaus SE & Co. KG ist für jeden Hinweis auf eine Schwachstelle dankbar. Diese werden so schnell wie möglich beseitigt und so stellen wir sicher, dass das Schutzniveau für Kunden, Produkte, Systeme und Netzwerk stets gewährleistet werden kann.
Hinweis:
Wir bitten Sie, Ihre Erkenntnisse über eine Schwachstelle so schnell wie möglich nach der Entdeckung ausschließlich über unser Hinweisgebersystem zu melden. Dies erreichen Sie über den Link: https://winkhaus.hintbox.de/
Bitte wählen Sie dort folgende Auswahlmöglichkeiten aus:
1. Bericht abgeben
2. Welche Gesellschaft ist involviert: Aug. Winkhaus SE & Co. KG
3. Was ist Ihr Anliegen:
Produktsicherheit & -konformität
oder
Datenschutz, Schutz der Privatsphäre sowie Netz- & Informationssicherheit
2. Vorgaben an den Melder von Schwachstellen
Bitte beachten Sie Folgendes:
• Melden Sie die Schwachstelle so schnell wie möglich, damit diese nicht durch böswillige Parteien ausgenutzt werden können;
• Bitte geben Sie genügend Informationen an, damit wir die Schwachstelle so schnell wie möglich nachvollziehen und beheben können. Eine Beschreibung der Schwachstelle reicht im Regelfall aus. Bei komplexen Sachverhalten seien Sie bitte so präzise wie möglich.
• Legen Sie die Schwachstelle nicht vor der Beseitigung offen oder geben diese an Dritte weiter.
• Bringen Sie keine eigene Backdoor in das Informationssystem zu Demonstrationszwecken ein.
• Nutzen Sie eine Sicherheitslücke nicht weiter als nötig, um die Schwachstelle festzustellen, d.h., richten Sie keine Schäden über die gemeldete Schwachstelle hinaus an.
• Kopieren, ändern oder löschen Sie keine Daten aus dem System. Alternativ können Sie eine Systemverzeichnisliste erstellen. Spätestens nach Meldung und unserer Bestätigung, sollten etwaige durch den Hinweisgeber gewonnene Daten gelöscht werden.
• Führen Sie keine Systemänderungen durch;
• Nehmen Sie keinen wiederholten Systemzugriff vor und geben Sie es nicht an Dritte weiter;
• Nutzen Sie keine Angriffsverfahren wie „Gross Force“, „Social Engineering“, „Umgehung unserer Physical Security“, „Social Engineering“, „Distributed Denial of Service“, „Spam“ oder Anwendungen von Drittanbietern - welche unser Tagesgeschäft und / oder die Nutzung unserer Produkte nicht nur unerheblich beeinträchtigen-, um Zugriff zu Systemen zu bekommen.
• Bitte sehen Sie davon ab unser Netz, Systeme oder Produkte aktiv auf Schwachstellen zu durchsuchen.
3. Verfahren bei der Aug. Winkhaus SE & Co. KG
• Die Aug. Winkhaus SE & Co. KG gibt Ihnen innerhalb von 5 Tagen eine Rückmeldung zu Ihrem Hinweis mit einem voraussichtlichen Lösungstermin;
• Die Aug. Winkhaus wird auf rechtliche Schritte verzichten, sofern Sie die Anforderungen dieser Vulnerabity Disclosure Policy eingehalten haben;
• Ihr Hinweis wird vertraulich behandelt. Die Datenschutzhinweise unseres Hinweisgebersystems können Sie hier zur Kenntnis nehmen;
• Sie werden über Fortschritte bei der Entfernung der Schwachstelle informiert;
• Sofern Sie dies wünschen, wird die Aug. Winkhaus SE & Co. KG Sie als Entdecker der Schwachstelle in der Berichterstattung namentlich nennen.
• Die Aug. Winkhaus SE & Co. KG setzt alles daran die Schwachstelle so schnell wie möglich zu schließen und ist offen für eine Veröffentlichung des Entdeckers bzw. Hinweisgebers nach Schließung der Schwachstelle.