Zum Inhalt wechseln
Startseite
Startseite

Richtlinie zur Meldung von Sicherheitslücken bei Pleo Technologies A/S

Einleitung

Pleo Technologies A/S begrüßt Rückmeldungen von Sicherheitsexpertinnen und -experten sowie der Öffentlichkeit, um unsere Sicherheit zu verbessern. Wenn Sie überzeugt sind, dass Sie eine Sicherheitslücke, ein Datenschutzproblem, offengelegte Daten oder ein anderes Sicherheitsproblem in unseren Systemen entdeckt haben, möchten wir gerne von Ihnen hören. Diese Richtlinie beschreibt die Schritte zur Meldung von Schwachstellen, was wir von Ihnen erwarten und was Sie von uns erwarten können.

Betroffene Systeme

Diese Richtlinie gilt für sämtliche digitalen Assets, die Pleo Technologies A/S besitzt, betreibt oder verwaltet. Für die nachfolgenden Anwendungen gelten angemessene Offenlegungsfristen:

  • openapi.pleo.io
    Die Pleo-Buchhaltungs-API ist um REST organisiert.
  • auth.pleo.io
    Der Pleo-Authentifizierungsdienst.
  • app.pleo.io
    Pleo bietet smarte Firmenkarten, die Spesenabrechnungen automatisieren und das Ausgabenmanagement vereinfachen.
  • api.pleo.io
    Die Pleo-API ist eine generische API für die meisten Pleo-Microservices.
  • *.pleo.io
    Wildcard-Pleo-Subdomains.

Nichtbetroffene Systeme

Vermögenswerte oder andere Ausrüstungsgegenstände, die nicht Eigentum der an dieser Richtlinie beteiligten Parteien sind.*

*Schwachstellen, die in Systemen außerhalb des Geltungsbereichs entdeckt oder vermutet werden, sollten dem entsprechenden Anbieter oder der zuständigen Behörde gemeldet werden.

Was Sie von uns erwarten können

Wenn Sie mit uns arbeiten, können Sie gemäß dieser Richtlinie erwarten, dass:

  • wir umgehend auf Ihren Bericht reagieren und mit Ihnen zusammenarbeiten, um Ihren Bericht zu verstehen und zu validieren;
  • wir uns bemühen, Sie über den Bearbeitungsstand einer Sicherheitslücke kontinuierlich zu informieren;
  • wir daran arbeiten, entdeckte Sicherheitslücken so rasch wie möglich im Rahmen unserer betrieblichen Abläufe zu beheben;
  • wir Ihnen einen sicheren rechtlichen Rahmen für Ihre Untersuchung von Sicherheitslücken im Rahmen dieser Richtlinie bieten.

Was wir von Ihnen erwarten

Bei Ihrer Teilnahme an unserem Programm zur Meldung von Sicherheitslücken bitten wir Sie, Folgendes zu beachten:

  • Halten Sie sich an die Regeln, einschließlich dieser Richtlinie und aller anderen relevanten Vereinbarungen. Falls es Widersprüche zwischen dieser Richtlinie und anderen geltenden Bedingungen gibt, haben die Bestimmungen dieser Richtlinie Vorrang.
  • Melden Sie jede entdeckte Sicherheitslücke umgehend.
  • Achten Sie darauf, die Privatsphäre anderer nicht zu verletzen, unsere Systeme nicht zu stören, Daten nicht zu löschen und/oder das Nutzererlebnis zu beeinträchtigen.
  • Verwenden Sie nur die offiziellen Kanäle, um mit uns über Sicherheitslücken zu sprechen.
  • Geben Sie uns eine angemessene Frist (mindestens 90 Tage ab der Erstmeldung), um das Problem zu beheben, bevor Sie es öffentlich machen.
  • Führen Sie Tests nur auf den relevanten/betroffenen Systemen durch und respektieren Sie Systeme und Aktivitäten außerhalb dieses Bereichs.
  • Wenn eine Sicherheitslücke ungewollten Zugriff auf Daten ermöglicht: Beschränken Sie den Datenzugriff auf das Minimum, das zur effektiven Demonstration eines Proof of Concept erforderlich ist; und beenden Sie die Tests sofort und reichen Sie einen Bericht ein, sobald Sie während der Tests auf Nutzerdaten wie persönlich identifizierbare Informationen (PII), persönliche Gesundheitsdaten (PHI), Kreditkartendaten oder vertrauliche Informationen stoßen.
  • Sie sollten nur Testkonten verwenden, die Ihnen gehören oder für die Sie die ausdrückliche Erlaubnis des Kontoinhabers bzw. der Kontoinhaberin haben.
  • Lassen Sie sich nicht auf Erpressungen ein.

Offizielle Kanäle

Bitte melden Sie Sicherheitslücken über security-vd@pleo.io und geben Sie alle relevanten Informationen an. Je mehr Details Sie angeben, desto einfacher ist es für uns, das Problem zu priorisieren und zu beheben.

Rechtlicher Rahmen

Wenn Sie Sicherheitslücken gemäß dieser Richtlinie untersuchen, betrachten wir diese Forschung als:

  • autorisiert im Hinblick auf geltende Anti-Hacking-Gesetze, und wir werden keine rechtlichen Schritte gegen Sie einleiten oder unterstützen, wenn Sie versehentlich gegen diese Richtlinie verstoßen;
  • autorisiert unter Berücksichtigung der relevanten Anti-Umgehungsgesetze, und wir werden keine Ansprüche gegen Sie geltend machen, sollten Sie unbeabsichtigt technische Kontrollen umgehen;
  • ausgenommen von den in unseren Nutzungsbedingungen (TOS) und/oder der Richtlinie zur akzeptablen Nutzung (AUP) festgelegten Beschränkungen, die die Durchführung von Sicherheitsforschung behindern könnten; diese Einschränkungen werden in bestimmten Fällen aufgehoben;
  • rechtskonform, zum Nutzen der allgemeinen Internetsicherheit und nach bestem Wissen durchgeführt.

Es wird erwartet, dass Sie alle anwendbaren Gesetze beachten. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie diese Richtlinie befolgt haben, werden wir Maßnahmen ergreifen, um zu verdeutlichen, dass Ihre Handlungen im Einklang mit dieser Richtlinie erfolgten.

Sollten Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sein, ob Ihre Sicherheitsforschung im Einklang mit dieser Richtlinie steht, reichen Sie bitte einen Bericht über einen unserer offiziellen Kanäle ein, bevor Sie fortfahren.

Es gilt zu beachten, dass der rechtliche Rahmen nur für Rechtsansprüche gilt, die unter der Kontrolle der an dieser Richtlinie teilnehmenden Organisation stehen, und dass unabhängige Dritte nicht an die Richtlinie gebunden sind