Vulnerability Disclosure Policy

Deutsch | English

1. Deutsche Version

1. Einleitung

Die Vista Nova GmbH & Co. KG (im Folgenden „wir“ oder „das Unternehmen“) nimmt die Sicherheit seiner Softwareprodukte und -dienstleistungen ernst. Wir begrüßen die Zusammenarbeit mit der Sicherheitscommunity, um Schwachstellen in unseren Systemen zu identifizieren und zu beheben. Diese Vulnerability Disclosure Policy (VDP) legt fest, wie wir mit Meldungen von Sicherheitslücken umgehen und welche Erwartungen wir an die Melder oder Melderinnen stellen.

Diese Policy orientiert sich an den Empfehlungen des BSI (Bundesamt für Sicherheit in der Informationstechnik) sowie internationalen Standards wie ISO/IEC 29147 und CERT/CC.

2. Geltungsbereich

Diese Policy gilt für alle Softwareprodukte, Webanwendungen, APIs, Cloud-Dienste und IT-Infrastrukturen, die von der Vista Nova GmbH & Co. KG entwickelt, betrieben oder bereitgestellt werden. Ausgenommen sind:

  • Systeme von Drittanbietern (z. B. Hosting-Provider, Bibliotheken), sofern nicht explizit in unserem Verantwortungsbereich.
  • Physische Sicherheitslücken (z. B. Zugangskontrollen zu Büros).

3. Erlaubte Testmethoden

Wir gestatten verantwortungsvolle Sicherheitsforschung unter folgenden Bedingungen:

Erlaubt:

  • Testen von Systemen, für die diese Policy gilt, ohne vorherige Autorisierung, sofern:
  • Keine Daten von Dritten (z. B. Kunden) eingesehen, verändert oder gelöscht werden.
  • Keine Denial-of-Service-Angriffe (DoS/DDoS) durchgeführt werden.
  • Keine physischen oder sozialen Angriffe (z. B. Phishing) erfolgen.
  • Die Tests nicht gegen geltendes Recht verstoßen (z. B. § 202c StGB – „Hacking-Paragraf“).

Nicht erlaubt:

  • Ausnutzung von Schwachstellen, um unbefugten Zugriff auf Daten zu erlangen.
  • Veröffentlichung von Schwachstellen vor unserer Freigabe.
  • Testen von Systemen außerhalb des Geltungsbereichs.

4. Meldeverfahren

4.1 Wie melden?

Schwachstellen können vertraulich über folgende Kanäle gemeldet werden:

4.2 Was sollte die Meldung enthalten?

Eine vollständige Meldung umfasst idealerweise:

  1. Beschreibung der Schwachstelle (Art, betroffene Komponente, Auswirkung).
  2. Schritte zur Reproduktion (Proof of Concept, Screenshots, Logs).
  3. Betroffene Systeme/Versionen.
  4. Optional: Kontaktdaten (Name, E-Mail, ggf. PGP-Schlüssel für verschlüsselte Kommunikation).
  5. Zeitpunkt der Entdeckung.

4.3 Was passiert nach der Meldung?

  1. Bestätigung: Wir bestätigen den Eingang der Meldung innerhalb von 3 Werktagen.
  2. Erstbewertung: Innerhalb von 7 Werktagen prüfen wir die Schwachstelle und bewerten diese.
  3. Kommunikation: Wir halten Sie über den Fortschritt auf dem Laufenden, sofern nicht anonym eingereicht.
  4. Behebung: Wir streben eine Behebung innerhalb von 90 Tagen an (abhängig von der Kritikalität).

5. Umgang mit Meldern oder Melderinnen

  • Keine rechtlichen Schritte: Sofern die Tests im Rahmen dieser Policy erfolgen, werden wir keine rechtlichen Schritte einleiten.
  • Belohnungen (Bug Bounty): Aktuell bieten wir keine finanziellen Belohnungen an, behalten uns aber vor, dies in Zukunft zu ändern.

6. Verantwortungsvolle Offenlegung

Wir verpflichten uns zu einer koordinierten Offenlegung (Coordinated Vulnerability Disclosure, CVD):

  • Keine öffentliche Bekanntgabe vor der Behebung (außer bei akuter Bedrohung).
  • Transparenz: Nach der Behebung veröffentlichen wir Details zur Schwachstelle (sofern keine rechtlichen oder sicherheitstechnischen Bedenken bestehen).

7. Rechtliche Hinweise

  • Diese Policy stellt keine Einladung zu illegalen Aktivitäten dar. Die Melder oder Melderinnen müssen sich an geltendes Recht halten (z. B. DS-GVO, StGB, UrhG).
  • Wir behalten uns vor, die Policy jederzeit anzupassen.
  • Bei Verstößen gegen diese Policy behalten wir uns rechtliche Schritte vor.

8. Kontakt

Bei Fragen zur Policy oder Meldungen:

2. English Version

1. Introduction

Vista Nova GmbH & Co. KG (hereinafter “we” or “the Company”) takes the security of its software products and services seriously. We welcome collaboration with the security community to identify and remediate vulnerabilities in our systems. This Vulnerability Disclosure Policy (VDP) outlines how we handle reports of security vulnerabilities and what we expect from reporters.

This policy is aligned with the recommendations of the German Federal Office for Information Security (BSI) as well as international standards such as ISO/IEC 29147 and CERT/CC.

2. Scope

This policy applies to all software products, web applications, APIs, cloud services, and IT infrastructure developed, operated, or provided by Vista Nova GmbH & Co. KG. Excluded are:

  • Third-party systems (e.g., hosting providers, libraries) unless explicitly within our responsibility.
  • Physical security vulnerabilities (e.g., access controls to offices).

3. Permitted Testing Methods

We allow responsible security research under the following conditions:

Permitted:

  • Testing of systems within the scope of this policy without prior authorization, provided that:
  • No third-party data (e.g., customer data) is accessed, modified, or deleted.
  • No denial-of-service (DoS/DDoS) attacks are conducted.
  • No physical or social engineering attacks (e.g., phishing) are performed.
  • Testing does not violate applicable laws (e.g., § 202c German Criminal Code – “Hacking Paragraph”).

Not Permitted:

  • Exploiting vulnerabilities to gain unauthorized access to data.
  • Public disclosure of vulnerabilities before our remediation.
  • Testing systems outside the defined scope.

4. Reporting Process

4.1 How to Report?

Vulnerabilities can be reported confidentially via the following channels:

4.2 What Should the Report Include?

A complete report should ideally include:

  1. Description of the vulnerability (type, affected component, impact).
  2. Steps to reproduce (proof of concept, screenshots, logs).
  3. Affected systems/versions.
  4. Optional: Contact details (name, email, PGP key if applicable).
  5. Date of discovery.

4.3 What Happens After Reporting?

  1. Acknowledgment: We confirm receipt of the report within 3 business days.
  2. Initial Assessment: Within 7 business days, we evaluate the vulnerability and classify it.
  3. Communication: We keep you updated on progress (unless posted anonymously).
  4. Remediation: We aim to fix vulnerabilities within 90 days (depending on severity).

5. Handling of Reporters

  • No Legal Action: If testing is conducted within the scope of this policy, we will not pursue legal action.
  • Rewards (Bug Bounty): Currently, we do not offer financial rewards, but we reserve the right to change this in the future.

6. Responsible Disclosure

We commit to Coordinated Vulnerability Disclosure (CVD):

  • No public disclosure before remediation (except in cases of imminent threat).
  • Transparency: After remediation, we may publish details of the vulnerability (unless legal or security concerns apply).

7. Legal Notes

  • This policy does not constitute an invitation to illegal activities. Reporters must comply with applicable laws (e.g., GDPR, German Criminal Code, Copyright Law).
  • We reserve the right to modify this policy at any time.
  • Violations of this policy may result in legal action.

8. Contact

For questions about this policy or to report vulnerabilities: