Die Sicherheit unserer Produkte und Dienstleistungen hat für uns oberste Priorität. Diese Richtlinie zur Offenlegung von Sicherheitslücken beschreibt, wie potenzielle Sicherheitslücken in unseren Cloud-Diensten verantwortungsbewusst gemeldet werden können. Wir begrüßen Meldungen von Sicherheitsforschern, Kunden und Partnern und verpflichten uns, mit Ihnen zusammenzuarbeiten, um die Ergebnisse zeitnah und transparent zu bearbeiten.

Diese Richtlinie gilt für:

• entervo infinite SaaS-Plattform
• Webanwendungen und APIs unter der Domain *.scheidt-bachmann.net
• E-Receipt-Portal unter der Domain *.receipt-parking.com

Nicht im Geltungsbereich enthalten:

• Kundenverwaltete On-Premise-Bereitstellungen von entervo.core
• Drittanbieter-Dienste und -Integrationen, die nicht von Scheidt & Bachmann Parking Solutions betrieben werden
• Social-Engineering-Angriffe, Spam, physische Angriffe, Denial-of-Service-Tests (DoS/DDoS) oder automatisierte Scan-Tools, die zu Dienstunterbrechungen führen

Wenn Sie sich nicht sicher sind, ob ein System in den Geltungsbereich fällt, kontaktieren Sie uns bitte, bevor Sie mit Tests beginnen.

Wenn Sie eine Sicherheitslücke entdecken, bitte:

• Senden Sie uns eine E-Mail an security@scheidt-bachmann.net
• Verschlüsseln Sie vertrauliche Details mit unserem PGP-Schlüssel.
• Stellen Sie klare Informationen zur Reproduktion des Problems bereit:
  • Betroffenes Produkt, Service oder API-Endpunkt
  • Schritte zur Reproduktion
  • Mögliche Auswirkungen
  • Proof-of-Concept (falls sicher)
• Veröffentlichen Sie die Sicherheitslücke nicht, bevor sie in Abstimmung mit uns behoben wurde.

Unsere Zusagen

Wenn Sie eine Sicherheitslücke in gutem Glauben und gemäß dieser Richtlinie melden, werden wir:

• Den Eingang Ihres Berichts innerhalb von 5 Werktagen bestätigen
• Innerhalb von 10 Werktagen eine erste Einschätzung oder Statusmeldung bereitstellen
• Mit Ihnen an einem koordinierten Offenlegungszeitplan arbeiten (typischerweise innerhalb von 90 Tagen, abhängig von Schweregrad und Komplexität der Behebung)
• Ihnen auf Wunsch Anerkennung auf unserer „Acknowledgments“-Seite geben
• Keine rechtlichen Schritte gegen Forschung in gutem Glauben und innerhalb des vereinbarten Rahmens einleiten

Regeln für die Durchführung

• Greifen Sie nicht auf Kundendaten zu und versuchen Sie nicht, darauf zuzugreifen.
• Stören Sie keine Dienste und beeinträchtigen Sie nicht deren Verfügbarkeit.
• Verwenden Sie keine automatisierten Scantools ohne vorherige Abstimmung.
• Tests müssen auf Konten beschränkt sein, die Ihnen gehören oder die wir ausdrücklich als Testkonten bereitgestellt haben.
• Nutzen Sie eine Sicherheitslücke nicht über das erforderliche Maß hinaus, um deren Existenz nachzuweisen.

Safe Harbor

Wir betrachten Sicherheitsforschung, die unter dieser Richtlinie durchgeführt wird, als autorisiert. Wenn Ihre Forschung diesen Regeln folgt, werden wir keine
rechtlichen Schritte gegen Sie einleiten.
Dieser Schutz gilt nicht für:

• Böswillige, ausnutzende oder schädigende Handlungen
• Verstöße gegen Gesetze, die nicht mit Sicherheitsforschung zusammenhängen

Belohnungen

Derzeit betreibt Scheidt & Bachmann Parking Solutions kein formelles Bug-Bounty-Programm. Wir schätzen jedoch die Bemühungen von Sicherheitsforschern
und können nach eigenem Ermessen eine Vergütung oder andere Anerkennung für Berichte mit hohem Einfluss anbieten. Alle gültigen Berichte sind für eine Erwähnung auf unserer
„Acknowledgments“-Seite berechtigt.

Kontakt

E-Mail: security@scheidt-bachmann.net

PGP-Schlüssel: www.scheidt-bachmann.net/.well-known/pubkey.txt