Richtlinie zur Meldung von Sicherheitslücken bei MicroVision

Bei MicroVision hat die Sicherheit unserer Systeme, Produkte und Daten oberste Priorität. Im Rahmen unserer Verpflichtung zur Einhaltung höchster Sicherheitsstandards erfüllen wir die Anforderungen von TISAX und ISO 27001. Wir wissen, welche unschätzbare Rolle einzelne interne oder externe Personen  bei der Identifizierung potenzieller Schwachstellen spielt. Daher fördern wir eine verantwortungsbewusste Offenlegung von Sicherheitslücken, um die Integrität unserer Systeme und Daten zu gewährleisten. Diese Richtlinie beschreibt, wie Sicherheitslücken in verantwortungsbewusster Weise gemeldet werden, um die Risiken für alle Beteiligten zu verringern. 

Alle Produkte und Systeme von MicroVision sowie unsere Website.

Sicherheitslücken außerhalb des Geltungsbereichs:

• Ergebnisse, die hauptsächlich aus Social Engineering resultieren (z. B. Phishing, Vishing)
• Fehler in der Benutzeroberfläche und der Benutzerführung, Rechtschreib- und Grammatikfehler
• Physische Angriffe auf Einrichtungen, Produkte oder Datenzentren von MicroVision
• Sicherheitslücken in Websites von MicroVision-Partnern oder Dritten
• Sicherheitslücken im Zusammenhang mit Denial-of-Service (DoS) -Angriffen

Wenn Sie in einem unserer Produkte, Systeme oder einer unserer Websites eine potenzielle Sicherheitslücke entdecken, wenden Sie sich bitte an uns unter vulnerability (at) microvision.com. Bitte fügen Sie Ihrer Meldung die folgenden Angaben bei:

• Ausführliche Beschreibung: Geben Sie eine detaillierte Beschreibung der Sicherheitslücke, einschließlich des betroffenen Systems oder Produkts.
• Schritte zur Reproduktion: Erklären Sie klar und deutlich, welche Schritte erforderlich sind, um das Problem zu reproduzieren.
• Mögliche Auswirkungen: Beschreiben Sie die möglichen Risiken oder Auswirkungen der Sicherheitslücke auf unsere Systeme oder Benutzer.
• Beweismaterial: Fügen Sie relevante Unterlagen wie Protokolle, Screenshots oder Videos bei, die uns das Problemverständnis erleichtern können.
• Kontaktdaten: Geben Sie Ihre Kontaktdaten an, damit wir uns bei Bedarf zur Rücksprache an Sie wenden können.
• Sprache: Wenn möglich, kontaktieren Sie uns bitte in englischer Sprache, da eine Untersuchung von Meldungen in anderen Sprachen wesentlich mehr Zeit in Anspruch nehmen kann.

Wir sind bemüht, relevante Sicherheitslücken zu identifizieren und entsprechend zu behandeln. In diesem Zusammenhang nehmen wir gerne Hinweise entgegen. Nach Erhalt Ihrer Meldung wird unser Sicherheitsteam jede Sicherheitslücke sorgfältig prüfen, untersuchen und in Übereinstimmung mit unseren Verfahren und dem geltenden Recht beheben. Im Sinne der Förderung eines verantwortungsbewusstem Meldeverhaltens werden wir keine rechtlichen Schritte gegen Personen einleiten, die sich an unsere im Folgenden aufgeführten Vorgaben für verantwortungsbewusstes Melden halten.

Um ein sicheres und ethisch verantwortliches Meldeverfahren zu gewährleisten, bitten wir Sie, die folgenden Vorgaben einzuhalten:

• Kein Ausnutzen: Die Sicherheitslücke darf in keiner Weise ausgenutzt werden. Dies schließt den Zugriff auf sensible Daten, das Vornehmen von Änderungen und das Verursachen von Schäden ein.
• Kein unbefugter Zugriff: Versuchen Sie nicht, auf Daten anderer zuzugreifen, diese zu ändern oder zu löschen, einschließlich personenbezogener oder geschützter Informationen.
• Keine Unterbrechungen: Vermeiden Sie Handlungen, die die Leistung oder Verfügbarkeit unserer Systeme beeinträchtigen könnten.
• Einhaltung von Gesetzen und ethischen Normen: Stellen Sie sicher, dass Ihre Handlungen den geltenden Gesetzen und ethischen Standards entsprechen.
• Testbeschränkungen: Beschränken Sie Schwachstellentests auf Ihre eigenen Konten und Daten. Verwenden Sie keine automatisierten Testinstrumente, die die Systemleistung beeinträchtigen könnten.
• Geben Sie ein Problem nicht an die Öffentlichkeit oder an Dritte weiter, solange es nicht von MicroVision gelöst wurde.

Die Nichteinhaltung dieser Vorgaben kann rechtliche Schritte oder andere Konsequenzen nach sich ziehen. MicroVision behält sich das Recht vor, zum Schutz der Integrität und Sicherheit unserer Systeme bei Bedarf die Behörden einzuschalten.

Wir wissen Ihre Bemühungen, zur Verbesserung der Sicherheit unserer Produkte und Systeme beizutragen, sehr zu schätzen. Fragen zu dieser Richtlinie richten Sie bitte an vulnerability (at) microvision.com. Teilen Sie uns bitte auch Ihre Vorschläge zur Verbesserung dieser Richtlinie mit.