Vulnerability Disclosure Program

Einführung

Die Sicherheit unserer Kunden und unserer Systeme hat für uns höchste Priorität. Wir bei creoline arbeiten kontinuierlich daran, unsere öffentlichen und internen Systeme abzusichern und zu verbessern.

Sollten Sie eine Schwachstelle entdecken, freuen wir uns, wenn Sie diese verantwortungsvoll an uns melden. Ihre Unterstützung hilft uns, die Sicherheit und Integrität unserer Dienste aufrechtzuerhalten.



Unser Versprechen

  • Wir werden eingereichte Berichte zeitnah prüfen und bestätigen.
  • Wir werden uns bemühen, Schwachstellen so schnell wie möglich zu beheben.
  • Wir behandeln Ihre Meldung vertraulich und erkennen Ihre Bemühungen an.
  • Wir verzichten auf rechtliche Schritte gegen Personen, die Schwachstellen in Übereinstimmung mit diesem Programm melden.



Was wir erwarten

  • Geben Sie uns genügend Zeit, die gemeldete Schwachstelle zu analysieren und geeignete Maßnahmen zu ergreifen.
  • Veröffentlichen Sie keine Details zur Schwachstelle, bevor wir sie behoben haben ("Coordinated Disclosure").
  • Vermeiden Sie Aktivitäten, die:
    • den Zugriff auf Daten Dritter ermöglichen,
    • die Verfügbarkeit unserer Dienste beeinträchtigen (z. B. durch DDoS),
    • den Betrieb unserer Systeme stören.



Geltungsbereich

Unser Programm deckt Schwachstellen ab, die sich auf die Sicherheit der folgenden Systeme auswirken:

  • Öffentliche Webseiten und APIs der creoline GmbH
    • www.creoline.com
    • account.creoline.com
    • api.creoline.com
    • ip.creoline.com
    • secret.creoline.com
    • marketplace.creoline.com
    • dl.creoline.com
  • Kundenportale und Verwaltungssysteme
  • Interne administrative Systeme (sofern aus dem Internet erreichbar)
  • Infrastruktur und Hosting-Dienste
  • SAML / OAuth2.0 Authentifizierungsanwendungen



Ausgeschlossen vom Programm

Bitte beachten Sie, dass die folgenden Punkte vom Programm ausgeschlossen sind:

  • Social Engineering, Phishing oder physische Angriffe
  • Denial-of-Service-Angriffe (DoS, DDoS)
  • Schwachstellen, die auf veralteten Browsern oder Plugins basieren
  • Brute-Force-Angriffe auf Passwörter
  • Externe SaaS-Dienste
  • Drittanbieter-Dienste
  • Server und Dienste von Kunden



Wie Sie eine Schwachstelle melden

Bitte melden Sie Schwachstellen ausschließlich über unser Responsible Disclosure Submission Form

Responsible Disclosure


Je detaillierter Ihr Bericht (inklusive Schritte zur Reproduktion, Screenshots, ggf. Proof-of-Concept), desto schneller können wir reagieren.



Anerkennung

Wir schätzen Ihre Unterstützung sehr und erkennen Beiträge, die zu einer Verbesserung unserer Sicherheit führen, im Rahmen unseres Programmes an. Durch die Meldung von Schwachstellen bewerben Sie sich automatisch für unser privates Bug Bounty Programm.