INCLUSIEF
TERUGGAVE
GRATIS
VERZENDING
Symbool van een leeg selectievakje met een voertuigsilhouet, geeft aan dat er nog geen voertuig is geselecteerd. Symbool van een ingevuld selectievakje met voertuigsilhouet, geeft aan dat er een voertuig is geselecteerd.
Símbolo de un conductor con las manos en el volante – representa el perfil del conductor.
Symbool van een klantenservicemedewerker met headset – stelt de klantenservice voor.

CVD-richtlijn RaceChip GmbH & Co. KG

Als u een of meer kwetsbaarheden heeft gevonden in IT-producten, IT-systemen of IT-diensten van RaceChip Chiptuning GmbH & Co. KG, kunt u met een gerust hart contact met ons opnemen. We nemen elke gemelde kwetsbaarheid serieus.

Als het gaat om IT-producten, IT-systemen of IT-diensten van fabrikanten of productmanagers buiten ons bedrijf, moet u de kwetsbaarheid eerst melden aan de fabrikant of productmanager. Als zij niet reageren op uw kwetsbaarheidsrapport of als het risico bestaat dat het CVD-proces wordt beëindigd, kunnen beveiligingsonderzoekers contact opnemen met ons bedrijf.

We verwachten dat onze punten die worden vermeld in het Coordinated Vulnerability Disclosure (CVD)-beleid zijn nageleefd, zodat uw kwetsbaarheidsrapport kan worden overgedragen naar ons CVD-proces. Hoe wij specifiek omgaan met kwetsbaarheidsmeldingen als onderdeel van een CVD-proces lees je in onze richtlijnen.

Wij beloven,

Behandel elk kwetsbaarheidsrapport vertrouwelijk binnen het wettelijke kader. Geen persoonsgegevens aan derden bekend te maken zonder uw uitdrukkelijke toestemming. Geef feedback op elke melding van een kwetsbaarheid. geen strafrechtelijke stappen tegen u ondernemen zolang u zich aan het beleid en de principes hebt gehouden. Dit geldt niet als herkenbare criminele bedoelingen zijn of worden nagestreefd. Om gedurende het hele proces de contactpersoon te zijn voor de vertrouwensuitwisseling. In het geval dat u persoonsgegevens hebt verstrekt in het rapport of in het meldingsformulier, neem dan de informatie over gegevensbescherming in acht.

We verwachten dat je:

Er is geen misbruik gemaakt van de gevonden kwetsbaarheid. Dit betekent dat er geen schade is veroorzaakt buiten de gemelde kwetsbaarheid. Er zijn geen aanvallen (zoals social engineering, spam, (distributed) DoS of "brute force" aanvallen, etc.) uitgevoerd tegen IT-systemen of infrastructuren. er geen manipulatie, compromittering of wijziging van systemen of gegevens van derden heeft plaatsgevonden; Er werden geen instrumenten aangeboden om kwetsbaarheden uit te buiten, bijvoorbeeld op darknetmarkten, tegen betaling of gratis, die derden kunnen gebruiken om misdaden te plegen. Het kwetsbaarheidsrapport is niet het resultaat van geautomatiseerde tools of scans zonder verklarende documentatie. Dit zijn geen geldige kwetsbaarheidsrapporten. Het kwetsbaarheidsrapport is voorheen onbekende informatie. Voor kwetsbaarheden die al zijn verholpen, worden uw gegevens ontvangen en beoordeeld, maar deze komen niet in aanmerking voor verdere verwerking als onderdeel van het CVD-proces.

Algemeen geldende contactgegevens (e-mailadres) worden opgeslagen zodat wij bij vragen contact met u kunnen opnemen. Vooral in het geval van complexe kwetsbaarheden kan niet worden uitgesloten dat we meer uitleg en documentatie nodig hebben. Omdat we veel waarde hechten aan goede communicatie, worden kwetsbaarheidsmeldingen zonder communicatiemogelijkheden (bijv. geldige contactgegevens) slechts in beperkte mate verwerkt. In het geval van een anonieme melding moet er rekening mee worden gehouden dat technische en inhoudelijke vragen niet kunnen worden beantwoord en dat bijbehorende kwetsbaarheidsmeldingen daarom slechts in beperkte mate of mogelijk niet kunnen worden verwerkt.

Meldingen van kwetsbaarheden via e-mail

Vulnerability melders die hun eigen rapportageformat gebruiken (bijvoorbeeld via PDF of txt) kunnen vulnerability reports en coördinatieverzoeken rechtstreeks naar het e-mailadres sturen [email protected] verzenden.

Een kwetsbaarheidsrapport moet als volgt zijn gestructureerd:

  • De naam van het product en het geteste versie-/serienummer.
  • Een eenvoudige beschrijving (screenshots, foto's of andere illustraties voor een betere traceerbaarheid, indien van toepassing) die laat zien hoe de kwetsbaarheid is ontdekt (inclusief eventuele gebruikte tools).
  • Een toewijzing van de kwetsbaarheid aan de OWASP Top 10 2021 (zie https://owasp.org/www-project-top-ten). Als geen van de kwetsbaarheidscategorieën past, moet dit in meer detail worden beschreven als "Overige".
  • Moet proof-of-concept (PoC)-code of instructies bevatten die aangeven hoe de kwetsbaarheid kan worden misbruikt.
  • Neem een risicobeoordeling op waarbij rekening wordt gehouden met de technische voorwaarden om de ernst van de kwetsbaarheid te bepalen (bijvoorbeeld door gebruik te maken van een CVSS-waarde en de bijbehorende matrix - bij voorkeur in de nieuwste versie).
  • Een beschrijving van de impact van de gerapporteerde kwetsbaarheid of het dreigingsmodel waarin een relevant aanvalsscenario wordt beschreven.