Technische Sicherheitslücken: Offenlegungsrichtlinie

Allgemeines Programm zum Management technischer Sicherheitslücken

NTT DATA, Inc. verpflichtet sich, die Sicherheit und Integrität unserer digitalen Assets zu wahren. Wir investieren kontinuierlich in umfassende Sicherheitsmaßnahmen und regelmäßige Audits, um diese Assets zu schützen. Obwohl wir den Wert von Community-Engagements wie Bug-Bounty-Programmen anerkennen, liegt unser Fokus auf der Nutzung interner und beauftragter Sicherheitsexpertise zur Aufrechterhaltung und Verbesserung unseres Sicherheitsprogramms.

Daher vergüten wir weder Einzelpersonen noch Organisationen für die Identifizierung potenzieller oder bestätigter Sicherheitslücken. Jegliche Anfragen nach finanzieller oder anderer Vergütung stellen eine Verletzung der Bedingungen unseres Programms zur verantwortungsvollen Offenlegung dar.

Meldung einer potenziellen Sicherheitslücke

Wenn Sie eine potenzielle Sicherheitslücke bei NTT DATA, Inc. oder einem unserer Dienste oder Produkte entdeckt haben, würden wir uns freuen, von Ihnen zu hören, und möchten Sie nachdrücklich dazu ermutigen, uns diese so schnell wie möglich und auf verantwortungsvolle Weise mitzuteilen.

Bitte übermitteln Sie Ihre Meldung über unsere Webseite und stellen Sie uns möglichst viele Informationen zur Verfügung, darunter:

• Eine Erklärung zur potenziellen Sicherheitslücke
• Eine Liste möglicher betroffener Produkte und Dienste
• Schritte zur Reproduktion der Sicherheitslücke
• Namen von Testkonten, die Sie erstellt haben
• Ihre Kontaktdaten

Was passiert nach der Meldung?

Wir verpflichten uns, alle Meldungen zur verantwortungsvollen Offenlegung zu prüfen. Wir bitten Sie, Vertraulichkeit zu wahren und Ihre Recherchen nicht zu veröffentlichen, bevor wir unsere Untersuchung abgeschlossen und gegebenenfalls Maßnahmen zur Behebung oder Abschwächung der Sicherheitslücke ergriffen haben.

Wir bitten Sie, keine Details zu potenziellen Sicherheitslücken ohne unsere ausdrückliche schriftliche Zustimmung öffentlich zu machen.

Vorbehaltlich gesetzlicher und regulatorischer Anforderungen werden alle Berichte streng vertraulich behandelt, ebenso wie die Details zu potenziellen Sicherheitslücken und die Identität der beteiligten Sicherheitsforscher.

Wenn Sicherheitslücken gemäß unserem Programm zur verantwortungsvollen Offenlegung entdeckt und gemeldet werden, werden wir keine rechtlichen Schritte gegen Sicherheitsforscher im Zusammenhang mit der Entdeckung und Meldung einer potenziellen Sicherheitslücke einleiten.

Im Falle von Nichteinhaltung behalten wir uns alle rechtlichen Schritte vor.

Untersagte Aktivitäten

Die folgenden Arten von Recherchen sind streng verboten:

• Zugriff auf oder der Versuch, auf Konten oder Daten zuzugreifen, die nicht Ihnen gehören
• Jegliche Versuche, Daten zu verändern oder zu löschen
• Ausführung oder Versuch der Ausführung eines Denial-of-Service-Angriffs (DoS)
• Versenden oder Versuch des Versendens von unerwünschten oder nicht autorisierten E-Mails, Spam oder anderen Formen unerwünschter Nachrichten
• Social Engineering von NTT DATA-Mitarbeitenden, Auftragnehmern, Kunden oder anderen Parteien, einschließlich (aber nicht beschränkt auf) die physische oder elektronische Kontaktaufnahme mit einer Person, beispielsweise durch Phishing
• Jegliche physische Angriffe auf unser Eigentum oder unsere Rechenzentren, einschließlich (aber nicht beschränkt auf) physische Rechenzentren, gehostete Infrastruktur und Bürostandorte
• Das Posten, Übertragen, Hochladen, Verlinken, Senden oder Speichern von Malware, Viren oder ähnlicher schädlicher Software, die sich auf unsere Dienstleistungen, Produkte, Kunden oder andere Parteien auswirken könnte
• Das Testen von Websites, Anwendungen oder Dienstleistungen Dritter, die in unsere Dienstleistungen oder Produkte integriert sind
• Verwendung automatisierter Schwachstellenscanner
• Das Exfiltrieren von Daten unter allen Umständen
• Jede Aktivität, die gegen geltendes Recht verstößt

Wir werden rechtliche Schritte gegen jeden in Betracht ziehen, der eine der oben genannten Handlungen ausführt.

Anerkennung gemeldeter Sicherheitslücken

Nach Abschluss der Untersuchung können wir nach eigenem Ermessen und vorbehaltlich der Zustimmung der Forscher die beteiligten Forscher anerkennen. Wir werden ihnen jedoch keinerlei Entschädigung zukommen lassen.

Wenn sich herausstellt, dass ein Bericht doppelt gemeldet wurde oder uns anderweitig bereits bekannt ist, kommt der Bericht nicht für eine öffentliche Anerkennung in Frage.

Melden Sie eine technische Sicherheitslücke

Wenn Sie eine potenzielle Sicherheitslücke bei NTT DATA, Inc. oder einem unserer Dienste oder Produkte entdeckt haben, würden wir uns freuen, von Ihnen zu hören, und möchten Sie nachdrücklich dazu ermutigen, uns diese so schnell wie möglich und auf verantwortungsvolle Weise mitzuteilen.