Responsible disclosure

Wir von Studielink legen großen Wert auf die Sicherheit unserer Systeme mitsamt den dazugehörigen Anwendungen und der zugrunde liegenden Infrastruktur. Trotz unserer Bestrebungen zur Sicherung unserer Systeme können jedoch durchaus Schwachstellen auftreten.

Wenn Sie eine Schwachstelle in einem unserer Systeme feststellen, bitten wir Sie um entsprechende Mitteilung, damit wir so schnell wie möglich entsprechende Maßnahmen ergreifen können. Zum Schutz unserer Benutzer und unserer Systeme möchten wir gerne mit Ihnen zusammenarbeiten.

Unsere Bitte an Sie:
- Bitte schicken Sie uns sämtliche sicherheitsrelevanten Anmerkungen per E-Mail an security@studielink.nl. Wenn Sie eine solche Meldung nur verschlüsselt senden, bitten wir Sie um entsprechende Mitteilung an die genannte E-Mail-Adresse. Wir werden Ihnen dann entsprechende Anweisungen zum verschlüsselten Versand von Informationen erteilen.

ACHTUNG! Diese E-Mail-Adresse dient ausschließlich zur Meldung von Schwachstellen in unseren Sicherheitsmaßnahmen. Alle inhaltlichen Fragen und Anmerkungen zur Verwendung von Studielink werden NICHT über diese E-Mail-Adresse beantwortet, sondern sind an Ihre (zukünftige) Bildungseinrichtung zu adressieren. Sie können ebenfalls den Studielink-Berater nutzen.

- Bitte missbrauchen Sie eine solche Schwachstelle nicht, indem Sie mehr Daten herunterladen als zum Nachweis der Sicherheitslücke erforderlich ist oder indem Sie Daten von anderen Personen einsehen, löschen bzw. ändern.

- Bitte verzichten Sie auf Bekanntmachung des Problems bis das Problem gelöst ist, und löschen Sie sofort nach Schließung der Sicherheitslücke sämtliche personengebundenen Daten, die dadurch in Ihren Besitz gelangt sind.

- Bitte verzichten Sie auf Angriffe auf die physische Sicherung sowie auf Social Engineering, Distributed Denial of Service, Spam oder die Verwendung von Drittanwendungen ab.

- Bitte geben Sie uns ausreichend Informationen, damit wir das Problem nachvollziehen und so schnell wie möglich beseitigen können. Meistens ist die IP-Adresse oder die URL des betroffenen Systems und eine Beschreibung der Schadensanfälligkeit ausreichend. Bei komplexeren Schadensanfälligkeiten können jedoch weitere Angaben erforderlich sein.

Unser Versprechen Ihnen gegenüber:
- Wir werden Ihnen innerhalb von 3 Tagen mit einer Beurteilung Ihrer Meldung antworten, unter Angabe des erwarteten Datums der Beseitigung des Problems.

- Wenn Sie die obigen Bedingungen eingehalten haben, werden wir keine rechtlichen Schritte im Zusammenhang der Meldung gegen Sie einleiten.

- Wir behandeln Ihre Meldung vertraulich und werden Ihre personengebundenen Daten nicht ohne Ihr Einverständnis mit Dritten teilen, insofern dies nicht im Zuge der Erfüllung von gesetzlichen Pflichten erforderlich ist. Die Erstattung einer Meldung unter Pseudonym ist möglich.

- Wir halten Sie über die Fortschritte bei der Beseitigung des Problems auf dem Laufenden.

- In Mitteilungen über dieses Problem nach außen werden wir auf Ihren Wunsch hin Ihren Namen als Entdecker nennen.

- Zum Dank für Ihre Hilfe bieten wir eine Belohnung für jede Meldung eines uns noch unbekannten Sicherheitsproblems. Die Höhe dieser Belohnung (in Form eines Geschenkgutscheins) bestimmen wir anhand der Ernsthaftigkeit der Sicherheitslücke und der Qualität der Meldung.

Wir sind bestrebt, sämtliche Probleme so schnell wie möglich zu lösen und stehen gerne Rede und Antwort bei eventuellen Veröffentlichungen über das Problem nach dessen Beseitigung.
Wir bedanken uns bei Floor Terra für seinen Beispieltext auf http://responsibledisclosure.nl/.

 
Immatrikulieren oder rückmelden www.studielink.nl