AUFDECKUNG UND OFFENLEGUNG VON SCHWACHSTELLEN

AUFDECKUNG UND OFFENLEGUNG VON SCHWACHSTELLEN

Richtlinien zur Aufdeckung und Offenlegung von Schwachstellen

Version 1.4- Oktober 2023

Einführung

Für Sylvania haben die Sicherheit, die Privatsphäre und die Sicherheit unserer Kunden höchste Priorität.
Wir entwickeln und produzieren Produkte und Dienstleistungen mit der bestmöglichen Qualität und Zuverlässigkeit.
Trotz unserer Bemühungen, die bestmöglichen Sicherheitsmaßnahmen zu implementieren, können in unseren Produkten und Dienstleistungen Schwachstellen vorhanden sein.

Dieses Dokument beschreibt die Richtlinien von Sylvania für die Entgegennahme von Berichten über potenzielle Sicherheitslücken in seinen Produkten und Dienstleistungen, die Verfahren des Unternehmens bei der Bearbeitung eines Berichts und die Standardpraxis des Unternehmens in Bezug auf die Information von Kunden über verifizierte Sicherheitslücken.

Jeder ist aufgefordert, festgestellte Schwachstellen zu melden, unabhängig von der Art des Dienstes oder der Produkte.
Forscher, Partner, Kunden oder jede andere Quelle sind willkommen, gefundene Schwachstellen zu melden.

Umfang

Diese Richtlinie gilt für die folgenden Systeme und Dienste:

• sylvania-gruppe.de
• https://comnet.sylvania-lighting.com
• SylSmart Energy(energy.sylvania-lighting.com)
• SylSmart Home mobile Anwendung
• SylSmart Eigenständige mobile Anwendung
• SylSmart Connected mobile Anwendung und Webanwendung(https://connected.sylvania-lighting.com/)
• SylSmart Connected Pro(https://connectedpro.sylvania-lighting.com)
• Lösung Sylvania mobile Anwendung
• SylSmart City Webanwendung (city.sylvania-lighting.com / city.sylvania-latam.com)
• SylSmart City mobile Anwendung

Hinweis für Forscher: Alle Dienste, die oben nicht ausdrücklich aufgeführt sind, sind vom Anwendungsbereich ausgeschlossen und nicht für Tests zugelassen.

Leitlinien

Wir bitten Sie:

• Benachrichtigen Sie Feilo Sylvania zuerst und so schnell wie möglich, nachdem Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt haben
• Bemühen Sie sich nach Kräften, Verletzungen der Privatsphäre, Beeinträchtigung der Systemleistung, Beeinträchtigung der Benutzerfreundlichkeit, Unterbrechung der Produktionssysteme und Zerstörung oder Manipulation von Daten zu vermeiden.
• Verwenden Sie Exploits nur in dem Umfang, der notwendig ist, um das Vorhandensein einer Sicherheitslücke zu bestätigen.
• Verwenden Sie einen Exploit nicht, um Daten zu kompromittieren oder zu extrahieren, um sich Zugriff auf die Befehlszeile und/oder Persistenz zu verschaffen oder um den Exploit zum “Pivot” auf andere Systeme zu verwenden.
• Sobald Sie feststellen, dass eine Sicherheitslücke besteht oder Sie auf sensible Daten stoßen (einschließlich personenbezogener Daten, finanzieller Daten oder geschützter Informationen oder Geschäftsgeheimnisse einer Partei), müssen Sie Ihren Test abbrechen, uns sofort benachrichtigen und diese Daten nicht an Dritte weitergeben.
• Geben Sie Feilo Sylvania eine angemessene Zeit, um das Problem zu lösen.
• Verwenden Sie keine DoS- oder DDoS-Tests (Network Denial of Service) oder andere Tests, die den Zugriff auf ein System oder Daten beeinträchtigen oder es beschädigen.

Wenn diese Richtlinien befolgt werden, werden keine rechtlichen Schritte gegen Personen eingeleitet, die eine Sicherheitslücke entdecken und melden.

Melden einer Sicherheitslücke

Die bevorzugte Methode zur Kontaktaufnahme mit Feilo Sylvania in Bezug auf eine tatsächliche oder potenzielle Schwachstelle in seinen Produkten oder Dienstleistungen ist die Zusendung einer E-Mail an:

[email protected].

Um Ihre Meldung der Schwachstelle effizient bearbeiten zu können, erwarten wir einen gut geschriebenen Bericht in englischer Sprache, der die folgenden Informationen enthält:

• Uhrzeit und Datum der Entdeckung
• Verwendete mobile Anwendung
• Mobiles Betriebssystem
• Computermodell und Details des Betriebssystems
• Gerätemodellnummer und zugehörige MAC/UUID-Adressen
• Produktmodell und -nummer, wenn möglich unter Verwendung der Nomenklatur des Herstellers
• URL, Browserinformationen, einschließlich Typ und Version, sowie die zur Reproduktion der Schwachstelle erforderliche Eingabe;
• Technische Beschreibung – geben Sie so detailliert wie möglich an, welche Aktionen durchgeführt wurden und welches Ergebnis erzielt wurde, einschließlich Bildschirmfotos,
• Beispielcode – stellen Sie, wenn möglich, den Code zur Verfügung, der bei den Tests verwendet wurde, um die Schwachstelle zu finden;
• Kontaktinformationen der Berichterstatter – die besten Kontaktinformationen
• Disclosure Plan(s) – aktueller Plan zur Offenlegung;
• Bewertung der Bedrohung/Risiko und Schweregrad – enthält Einzelheiten zu den identifizierten Bedrohungen und/oder Risiken einschließlich eines Risikograds (geringfügig, hoch, kritisch)
• Relevante Informationen über verbundene Geräte, wenn während der Interaktion eine Schwachstelle auftritt.

Bitte geben Sie in Ihren Berichten keine persönlichen Daten an, es sei denn, diese sind notwendig, um Sie in Übereinstimmung mit der Datenschutzgrundverordnung zu kontaktieren.

Durch die Teilnahme an diesem Meldemechanismus erhalten Sie keine Rechte an geistigem Eigentum von Feilo Sylvania oder Dritten.

Bearbeitung des Berichts – Nächste Schritte

Sobald Feilo Sylvania Ihren Bericht erhält, wird sich Feilo Sylvania bemühen, den Erhalt aller eingereichten Berichte innerhalb von sieben Tagen zu bestätigen.

Ihr Bericht wird in unserem Problemverfolgungssystem verarbeitet.
Der Schweregrad der Meldung wird von Feilo Sylvania nach eigenem Ermessen festgelegt und ein zuständiges Teammitglied wird sich mit Ihnen in Verbindung setzen.

Um die Vertraulichkeit zu gewährleisten, empfehlen wir Ihnen, alle sensiblen Informationen, die Sie per E-Mail an uns senden, zu verschlüsseln.
Feilo Sylvania wird einen offenen Dialog gewährleisten, um Probleme zu diskutieren und Sie in jeder Phase der Untersuchung auf dem Laufenden halten.

Feilo Sylvania entscheidet nach eigenem Ermessen, ob eine Meldung je nach Schweregrad oder Inhalt der Meldung akzeptiert wird.

Feilo Sylvania dankt Ihnen für Ihre Unterstützung bei der Identifizierung einer Sicherheitslücke, für die Verbesserung unserer Produkte und Dienstleistungen und für Ihren Beitrag zu einer sichereren Gemeinschaft.

Alle Aspekte dieses Prozesses können ohne Vorankündigung geändert werden, ebenso wie Ausnahmen von Fall zu Fall.
Es wird kein bestimmtes Maß an Reaktion auf ein bestimmtes Thema oder eine Gruppe von Themen garantiert.

Beachten Sie, dass es keine finanzielle Belohnung für gemeldete Schwachstellen gibt.