Vulnerability Disclosure Policy

Einführung

natif.ai nimmt gerne Rückmeldungen von Sicherheitsexperten und der Öffentlichkeit entgegen, um die Sicherheit zu verbessern. Wenn Sie glauben, dass Sie eine Schwachstelle, ein Datenschutzproblem, exponierte Daten oder andere Sicherheitsprobleme in einer unserer Assets entdeckt haben, können Sie uns dies gerne mitteilen. Diese Richtlinie beschreibt die Schritte zur Meldung von Schwachstellen an uns, was wir erwarten und was Sie von uns erwarten können.
natif ai nimmt gerne Meldungen von gutgläubigen Sicherheitsexperten entgegen, die Sicherheitsanalyse im Rahmen dieser VDP-Richtlinien betreiben oder durchführen.

Test Methoden

Die folgenden Testmethoden sind weder zugelassen noch gelten sie als gutgläubige/autorisierte Recherche:

– DoS- oder DDoS-Tests (Network Denial of Service) oder andere Tests, die den Zugang zu einem System oder Daten beeinträchtigen oder beschädigen.

– Physische Tests (z. B. Bürozugang, offene Türen, Abhören), Social Engineering (z. B. Phishing, Vishing) oder andere nichttechnische Schwachstellentests.

Geltungsbereich

Diese Richtlinie gilt für die unten aufgeführten digitalen Ressourcen, die natif ai gehören, von ihr betrieben oder gepflegt werden.

natif.ai
client.natif.ai
api.natif.ai

Alle anderen Dienste, wie z. B. alle damit verbundenen Dienste, sind vom Geltungsbereich ausgeschlossen und werden nicht zur Prüfung zugelassen.

Außerhalb des Geltungsbereichs

Assets oder anderes Equipment, die nicht den an dieser Politik beteiligten Parteien gehören.
Entdeckte oder vermutete Schwachstellen in Systemen außerhalb des Geltungsbereichs sollten dem entsprechenden Anbieter oder der zuständigen Behörde gemeldet werden.

Unsere Verpflichtungen

– Innerhalb von 5 Werktagen bestätigen wir Ihnen den Eingang Ihres Berichts.
– Wir arbeiten mit Ihnen zusammen, um Ihren Bericht zu verstehen und zu validieren.
– Wir werden Probleme in einem offenen Austausch diskutieren.
– Wir bemühen uns, Sie über den Fortschritt einer Schwachstelle zu informieren, während sie bearbeitet wird.
– Wir arbeiten daran, entdeckte Schwachstellen im Rahmen unserer betrieblichen Möglichkeiten zeitnah zu beheben.

Unsere Erwartungen

Wenn Sie mit guter Absicht an unserem Programm zur Offenlegung von Schwachstellen teilnehmen, bitten wir Sie darum, dass Sie:
– sich an die Regeln halten, einschließlich der Befolgung dieser Richtlinie und aller anderen relevanten Vereinbarungen. Bei Unstimmigkeiten zwischen dieser Richtlinie und anderen geltenden Bestimmungen haben die Bestimmungen dieser Richtlinie Vorrang;
– jede Sicherheitslücke unverzüglich melden, die Sie entdeckt haben;
– es vermeiden, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu zerstören und/oder die Benutzererfahrung zu beeinträchtigen;
– nur die offiziellen Kanäle verwenden, um Informationen über Sicherheitslücken mit uns zu besprechen;
– uns eine angemessene Zeitspanne (mindestens ab der ersten Meldung) geben, um das Problem zu lösen, bevor Sie es öffentlich machen;
– nur Tests an Systemen durchführen, die in den Geltungsbereich fallen und auf Systeme und Aktivitäten, die nicht in den Geltungsbereich fallen, achten;
– Berichte möglichst in englischer Sprache verfassen;
– eine detaillierte Beschreibung der Schritte verfassen, die zur Reproduktion der Schwachstelle erforderlich sind (Proof-of-Concept-Skripte oder Screenshots sind hilfreich);
– wenn eine Sicherheitslücke unbeabsichtigten Zugriff auf Daten ermöglicht: Begrenzen Sie die Menge der Daten, auf die Sie zugreifen, auf das Minimum, das für die effektive Demonstration eines Konzeptnachweises erforderlich ist. Stellen Sie die Tests ein und reichen Sie sofort einen Bericht ein, wenn Sie während der Tests auf Benutzerdaten wie personenbezogene Daten (PII), persönliche Gesundheitsdaten (PHI), Kreditkartendaten oder geschützte Informationen stoßen;
– nur mit Testkonten interagieren sollten, die Ihnen gehören oder für die Sie die ausdrückliche Genehmigung des Kontoinhabers haben; und
– sich nicht auf Erpressung einlassen.

Melden einer Schwachstelle

natif.ai nimmt Berichte über Sicherheitslücken unter security@natif.ai entgegen.

Meldungen können anonym eingereicht werden. Wenn Sie uns Ihre Kontaktdaten mitteilen, werden wir den Erhalt Ihrer Meldung innerhalb von 5 Werktagen bestätigen.
natif.ai bietet keine Bezahlung oder Entschädigung für Recherchen nach gutem Glauben an.

Safe Harbor / Autorisierung

Wir betrachten Aktivitäten, die im Einklang mit dieser Richtlinie durchgeführt werden, als „autorisierten“ Zugang im Sinne der Anti-Hacking-Gesetze. In dem Maße, in dem Ihre Aktivitäten mit bestimmten Einschränkungen in unserer Richtlinie zur zulässigen Nutzung unvereinbar sind, verzichten wir auf diese Einschränkungen für den begrenzten Zweck, Sicherheitsrecherche im Rahmen dieser Richtlinie zu ermöglichen. Wir werden keine Ansprüche gegen Sie geltend machen, wenn Sie die technischen Maßnahmen umgehen, die wir zum Schutz der Anwendungen in diesem Bereich eingesetzt haben. Wenn ein Dritter rechtliche Schritte gegen Sie einleitet und Sie diese Richtlinie eingehalten haben, werden wir Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie erfolgt sind. Bei versehentlichen, gutgläubigen Verstößen gegen diese Richtlinie werden wir keine zivilrechtlichen Schritte einleiten oder eine Beschwerde bei den Strafverfolgungsbehörden einreichen.
Bitte erstatten Sie uns Bericht, bevor Sie ein Verhalten an den Tag legen, das mit dieser Richtlinie unvereinbar ist oder von ihr nicht abgedeckt wird.