Security-Kontakt & Vulnerability Disclosure

Sicherheitslücke melden

Wenn Sie eine potenzielle Sicherheitslücke in Psido entdeckt haben, bitten wir Sie, diese verantwortungsvoll über unseren Security-Kontakt zu melden:

security@psido.at

Vulnerability-Disclosure-Prozess

Psido unterstützt den Grundsatz der verantwortungsvollen Offenlegung (Responsible Disclosure). Wir bitten Sie:

  1. Vertrauliche Meldung: Senden Sie eine Beschreibung der Schwachstelle an security@psido.at. Veröffentlichen Sie die Schwachstelle nicht, bevor sie behoben wurde.
  2. Details angeben: Beschreiben Sie die Schwachstelle so genau wie möglich – idealerweise mit Schritten zur Reproduktion, betroffenen Endpunkten und möglichen Auswirkungen.
  3. Keine Ausnutzung: Nutzen Sie die Schwachstelle nicht über das für den Nachweis notwendige Maß hinaus aus. Greifen Sie nicht auf fremde Daten zu.
  4. Angemessene Frist: Geben Sie uns eine angemessene Frist zur Behebung, bevor Sie die Schwachstelle öffentlich machen.

Was passiert nach Ihrer Meldung?

  1. Bestätigung: Sie erhalten innerhalb von 48 Stunden eine Eingangsbestätigung.
  2. Bewertung: Wir bewerten die Schwachstelle nach Schweregrad (CVSS) und priorisieren die Behebung.
  3. Behebung: Kritische Schwachstellen werden so schnell wie möglich behoben.
  4. Rückmeldung: Sie werden informiert, sobald die Schwachstelle behoben ist.

Geltungsbereich

Der Vulnerability-Disclosure-Prozess gilt für:

  • Die Psido-Webanwendung (app.psido.at)
  • Die Psido-Website (www.psido.at)
  • Die Psido-API

Unsere Zusicherung

Wir werden keine rechtlichen Schritte gegen Personen einleiten, die Schwachstellen in gutem Glauben und unter Einhaltung dieses Prozesses melden. Wir schätzen die Arbeit von Sicherheitsforscher:innen und bedanken uns für jeden Beitrag zur Sicherheit von Psido.