1. Zweck
Wenn Sie eine mögliche Sicherheitslücke im Zusammenhang mit ABAStroke feststellen, melden Sie diese bitte direkt an unser Team.
Zweck dieser Richtlinie ist es, eine verantwortungsvolle Möglichkeit zur Übermittlung von Informationen über Sicherheitsprobleme bereitzustellen, damit wir das Risiko bewerten und geeignete Maßnahmen ergreifen können.
2. Wie eine Sicherheitslücke gemeldet werden kann
Bitte senden Sie Sicherheitsmeldungen an:
Wenn Ihre Meldung technische oder sensible Informationen enthält, empfehlen wir, die Nachricht mit unserem öffentlichen PGP-Schlüssel zu verschlüsseln:
https://abastroke.com/.well-known/pgp-publickey.asc
Die Nutzung von PGP wird empfohlen, ist aber nicht verpflichtend. Wenn Sie Ihre Nachricht nicht verschlüsseln können, können Sie die Meldung trotzdem an die oben genannte E-Mail-Adresse senden.
3. Welche Informationen hilfreich sind
Um uns die Analyse zu erleichtern, geben Sie bitte, soweit möglich, folgende Informationen an:
- eine Beschreibung des Problems,
- Schritte zur Reproduktion des Problems,
- Angaben dazu, welcher Teil des Systems betroffen ist, z. B. mobile Anwendung, Backend, Website oder Infrastruktur,
- die mögliche Auswirkung, falls bekannt,
- Kontaktdaten für die weitere Kommunikation.
Wenn Ihnen nicht alle diese Informationen vorliegen, können Sie die Meldung dennoch einreichen.
4. Wie wir reagieren
Nach Eingang einer Meldung werden wir versuchen:
- den Eingang innerhalb einer angemessenen Frist zu bestätigen,
- zu bewerten, ob das gemeldete Problem sicherheitsrelevant ist,
- bei Bedarf zusätzliche Informationen anzufordern,
- Abhilfemaßnahmen entsprechend dem Risikoniveau zu planen.
Wir garantieren nicht, dass jede Meldung innerhalb eines bestimmten Zeitraums gelöst wird, behandeln Sicherheitsmeldungen jedoch mit Priorität.
5. Regeln für verantwortungsvolle Offenlegung
Bitte melden Sie Sicherheitslücken verantwortungsvoll:
- veröffentlichen Sie keine Details der Sicherheitslücke, bevor Sie eine Antwort von uns erhalten haben oder bevor die vereinbarte Zeit für Analyse und Reaktion abgelaufen ist,
- führen Sie keine Handlungen durch, die die Verfügbarkeit des Dienstes, die Integrität von Daten oder die Privatsphäre von Nutzern beeinträchtigen könnten,
- versuchen Sie nicht, auf Daten, Konten oder Ressourcen zuzugreifen, die Ihnen nicht gehören,
- beschränken Sie Tests auf das notwendige Minimum, um das Problem zu bestätigen.
6. Zeitraum vor der Offenlegung
Grundsätzlich bitten wir darum, uns vor einer öffentlichen Offenlegung Zeit zur Analyse der Sicherheitslücke und zur Umsetzung von Abhilfemaßnahmen zu geben.
Wir gehen von einem Zeitraum von bis zu 90 Tagen ab Bestätigung einer vollständigen Meldung aus, sofern die Art des Problems keinen anderen Zeitraum rechtfertigt.
In besonderen Fällen kann der Zeitraum abweichend vereinbart werden.
7. Schutz der meldenden Person
Wenn die meldende Person in gutem Glauben handelt, ausschließlich um uns verantwortungsvoll über eine Sicherheitslücke zu informieren, und diese Richtlinie einhält, wird ABAStroke grundsätzlich keine Schritte gegen diese Person allein aufgrund der Meldung selbst einleiten.
Dies gilt nicht für Situationen, in denen es zu Folgendem kommt:
- rechtswidrige Handlungen,
- vorsätzlicher Zugriff auf Patientendaten, Nutzerdaten oder andere vertrauliche Daten,
- Störung von Diensten,
- Nutzung der Sicherheitslücke über das zur Bestätigung notwendige Maß hinaus,
- Handlungen, die Nutzern, Partnern oder ABAStroke Schaden zufügen.
8. Wofür dieser Kanal nicht bestimmt ist
Dieser Kanal dient ausschließlich der Meldung von Sicherheitslücken. Er ist nicht bestimmt für:
- technische Supportanfragen ohne Sicherheitsbezug,
- Beschwerden,
- Angelegenheiten im Zusammenhang mit dem Zugang zur Therapie,
- die Übermittlung medizinischer Daten oder Patientendokumentation.
Solche Anliegen sollten über die üblichen Kontaktkanäle von ABAStroke eingereicht werden.
9. Haftungsausschluss
Die Veröffentlichung dieser Richtlinie stellt keine Einladung dar, umfassende Penetrationstests, Infrastruktur-Scans oder andere Aktivitäten durchzuführen, die über eine verantwortungsvolle und begrenzte Bestätigung einer möglichen Sicherheitslücke hinausgehen.
ABAStroke kann diese Richtlinie aktualisieren.