Valitse maa ja kieli
  • Tuotteet
  • Koe paikan päällä
  • Huolto

Haavoittuvuuksien julkistamiskäytäntö

BORA Vertriebs GmbH & Co KG pyrkii aina tarjoamaan asiakkailleen mahdollisimman korkealaatuisia ja luotettavia tuotteita ja palveluita. Tämän tavoitteen saavuttamiseksi tutkimme kaikki meille ilmoitetut turvallisuusongelmat, jotka asiantuntijat, kumppanit tai asiakkaat ovat havainneet.

 

Seuraava käytäntö koskee kaikkia haavoittuvuuksia, joista haluat ilmoittaa meille. Suosittelemme lukemaan tämän käytännön kokonaan ja toimimaan sen ohjeiden mukaan. Näin voidaan varmistaa, että haavoittuvuudet tunnistetaan ja käsitellään oikein. BORA Vertriebs GmbH & Co KG arvostaa haavoittuvuuksien ilmoittamiseen käyttämääsi aikaa ja vaivannäköä. Haluamme kuitenkin huomauttaa, että BORA Vertriebs GmbH & Co KG ei maksa haavoittuvuuksien ilmoittamisesta rahallista korvausta.

 

Mikäli uskot löytäneesi haavoittuvuuden, pyydämme sinua ilmoittamaan siitä käyttämällä seuraavaa linkkiä tai lähettämällä sähköpostia. Liitä viestiisi mukaan seuraavat tiedot:

 

  • URL- tai IP-osoite, jossa turvallisuusaukko sijaitsee.
  • Lyhyt kuvaus haavoittuvuuden tyypistä.
  • Toistamiseen vaadittavat vaiheet. Kyseessä tulee olla hyvälaatuinen, ei-tuhoava Proof of Concept -menetelmä. Tämä auttaa ilmoituksen nopeassa ja tarkassa käsittelyssä. Se myös vähentää todennäköisyyttä, että samasta asiasta tehdään useita ilmoituksia tai että turvallisuusaukkoja käytetään hyväksi esimerkiksi aliverkkotunnusten kaappaamiseen.

 

Saatuamme ilmoituksen aloitamme kyseisen turvallisuusaukon/haavoittuvuuden tutkimisen ja korjaamisen. Pyrimme vastaamaan ilmoitukseesi 10 arkipäivän kuluessa ja käsittelemään sen 14 arkipäivän aikana. Pidämme sinut myös ajan tasalla edistymisestämme asian käsittelyssä. Korjaustoimien priorisointi tehdään turvallisuusaukon vaikutusten, vakavuusasteen ja monimutkaisuuden perusteella. Kiitoksen osoituksena julkaisemme haavoittuvuuksien löytäjien nimet sivustollamme heidän suostumuksellaan.

Ohjeet

Et saa

  • toimia voimassa olevien lakien tai määräysten vastaisesti
  • käsitellä tarpeettomia, suuria tai merkittäviä tietomääriä
  • tehdä muutoksia organisaation järjestelmissä tai palveluissa oleviin tietoihin
  • käyttää häiritseviä tai tuhoavia skannausohjelmia turvallisuusaukkojen etsimiseen
  • yrittää tehdä palvelujen käyttöä haittaavia toimia, kuten kuormittaa palvelua suurella kyselyiden määrällä
  • häiritä organisaation palveluiden tai järjestelmien käyttöä
  • tehdä ilmoituksia ei-hyödynnettävissä olevista turvallisuusaukoista tai ilmoituksia, joissa mainitaan, että palvelut eivät vastaa täysin parhaita käytäntöjä, esim. tietoturvaotsikko puuttuu
  • tehdä ilmoituksia TLS-määrityksessä olevista haavoittuvuuksista, esimerkiksi heikon salauspaketin tuesta tai TLS1.0-tuesta
  • jakaa haavoittuvuuksia tai niihin liittyviä tietoja muulla tavalla kuin mitä on kuvattu julkaistussa security.txt-tiedostossa
  • kohdistaa organisaation henkilöstöön tai infrastruktuuriin käyttäjien manipulointia, kalastelua tai fyysisiä hyökkäyksiä
  • vaatia taloudellista korvausta haavoittuvuuksien julkistamisesta.

 

Sinun täytyy

  • noudattaa aina tietosuojamääräyksiä etkä saa vaarantaa organisaation käyttäjien, työntekijöiden, toimeksisaajien, palveluiden tai järjestelmien yksityisyyttä. Et saa jakaa tai välittää eteenpäin järjestelmistä tai palveluista saamiasi tietoja, ja sinun on suojattava ne asianmukaisesti.
  • poistaa turvallisesti kaikki tiedot, jotka olet saanut haltuusi selvitystesi aikana, heti kun niitä ei enää tarvita tai kuukauden kuluessa haavoittuvuuden korjaamisesta sen mukaan, kumpi ehto täyttyy ensin (tai mitä tietosuojalaissa määrätään).
Oikeudelliset seuraamukset

Tämä käytäntö on laadittu siten, että haavoittuvuuksien löytäjille, jotka noudattavat sen ohjeita, ei aiheudu oikeudellisia seuraamuksia.

Haavoittuvuuksista ilmoittaminen

Jos löydät turvallisuusaukon BORA Vertriebs GmbH & Co KG:n IT-järjestelmistä tai verkkosovelluksista tai BORA Vertriebs GmbH & Co KG:n myymistä tuotteista, pyydämme ilmoittamaan siitä meille. Ryhdymme sen jälkeen välittömästi tarvittaviin toimenpiteisiin korjataksemme löydetyn turvallisuusaukon mahdollisimman nopeasti.

 

Toimi seuraavasti:

  • Tutustu ennen ilmoituksen tekemistä tapauksiin, jotka eivät kuulu haavoittuvuuksien julkistamiskäytäntömme soveltamisalaan, ja joita ei käsitellä sen puitteissa.
  • Lähetä turvallisuusongelmaa koskeva ilmoituksesi osoitteeseen security@bora.com.
  • Älä hyödynnä turvallisuusaukkoa tai -ongelmaa esimerkiksi tietojen lataamiseen, muuttamiseen tai poistamiseen tai koodin lataamiseen.
  • Älä luovuta turvallisuusaukkoa koskevia tietoja kolmansille henkilöille tai muille tahoille, ellet ole saanut tähän BORA Vertriebs GmbH & Co KG:ltä nimenomaista lupaa.
  • Älä tee IT-järjestelmiimme kohdistuvia hyökkäyksiä, jotka voivat vaarantaa infrastruktuurin ja henkilöiden maineen, tai näihin kohdistuvia muutos- tai manipulointiyrityksiä.
  • Älä harjoita käyttäjien manipulointia (esim. kalastelua), tee hajautettuja palvelunestohyökkäyksiä, lähetä roskapostia tai kohdista muunlaisia hyökkäyksiä BORA Vertriebs GmbH & Co KG:hen.
  • Pyydämme sinua ilmoittamaan kaikki tarvittavat tiedot, jotta voimme toistaa ja analysoida ongelman. Ilmoita myös yhteystietosi, jotta voimme ottaa sinuun tarvittaessa yhteyttä.
Ota yhteyttä!
Innstrasse 1
6342 Niederndorf
Itävalta
+49 8035 9840 0
00800 7890 0987 UIFN*
support@bora.com

*UIFN-numero (maksuton kansainvälinen puhelinnumero)

Kauppa
Tuotteet
Palvelu
instagramyoutubeblackpinterestlinkedinfacebook
Julkaisutiedot Tietosuoja Vulnerability Disclosure Policy Whistleblower system Evästeasetukset

© Copyright 2025 BORA Vertriebs GmbH & Co KG