Cybersecurity
Koordinirana politika objavljivanja ranjivosti (CVDP)
RaceChip Chiptuning GmbH & Co. KG, Karl-Frasch-Str. 14, D-73037 Göppingen
koju zastupa Daniel Götz, Mathieu Lalanne, glavni izvršni direktor, u daljnjem tekstu nazvan "Organizacija",
1. Opseg politike
Kako bismo poboljšali performanse i sigurnost naših mreža i informacijskih sustava, usvojili smo koordiniranu politiku objavljivanja ranjivosti. Ova politika sudionicima omogućuje da s dobrim namjerama pretražuju potencijalne ranjivosti u sustavima, opremi i proizvodima naše organizacije ili da prijave sve informacije koje otkriju o ranjivosti.
Međutim, pristup našim IT sustavima i opremi dopušten je samo s namjerom poboljšanja sigurnosti, obavještavanja o postojećim ranjivostima i u strogoj sukladnosti s ostalim uvjetima navedenima u ovom dokumentu.
Naša politika se odnosi na sigurnosne ranjivosti koje bi treće strane mogle iskoristiti ili koje bi mogle ometati ispravno funkcioniranje naših proizvoda, usluga, mreža ili informacijskih sustava.
Sudioniku je također dopušteno unositi ili pokušati unijeti računalne podatke u naš računalni sustav, u skladu s ciljevima i uvjetima ove politike.
Popis proizvoda u području primjene:
- RaceChip GTS 5 / GTS 5 Black
- RaceChip RS
- RaceChip S
- RaceChip XLR 5
- RaceChip RX
- RaceChip SC (pametni kontroler)
- RaceChip OBD dongle
Istraživanje sudionika o informacijskim sustavima koji nisu izričito uključeni u okvir ove politike moglo bi dovesti do pravnih postupaka protiv njega/nje.
2. uzajamne obveze stranaka
a) proporcionalnostSudionik se obvezuje strogo se pridržavati načela proporcionalnosti u svim svojim aktivnostima, tj. ne ometati dostupnost usluga koje sustav pruža i ne iskorištavati ranjivost više nego što je strogo potrebno za demonstraciju sigurnosnog propusta. Njihov pristup mora ostati proporcionalan: ako je sigurnosni problem demonstriran u malom opsegu, ne bi trebalo poduzimati daljnje radnje.
Cilj naše politike je spriječiti namjerno stjecanje saznanja o sadržaju računalnih podataka, komunikacijskih podataka ili osobnih podataka, a takvo saznanje moglo bi se dogoditi samo slučajno u kontekstu pretraživanja ranjivosti.
b) Radnje koje nisu dopušteneSudionicima nije dopušteno poduzimati sljedeće radnje:
- kopiranje ili mijenjanje podataka iz IT sustava ili brisanje podataka iz tog sustava;
- promjena parametara IT sustava;
- instaliranje zlonamjernog softvera: virusa, crva, trojanskih konja itd.;
- Napadi distribuiranog uskraćivanja usluge (DDoS);
- napadi socijalnog inženjeringa;
- phishing napadi;
- spamiranje;
- krađa lozinki ili brute force napadi;
- instaliranje uređaja za prisluškivanje, pohranu ili saznavanje o (elektroničkim) komunikacijama kojima javnost nema pristup;
- namjerno presretanje, pohrana ili primanje komunikacija koje nisu dostupne javnosti ili elektroničkih komunikacija;
- namjerna uporaba, održavanje, komuniciranje ili distribucija sadržaja nepublikacijskih komunikacija ili podataka iz IT sustava za koje je sudionik razumno trebao znati da su nezakonito pribavljeni.
Ako sudionik želi koristiti pomoć treće strane pri provođenju svog istraživanja, sudionik mora osigurati da je ta treća strana upoznata s ovom politikom i da se, nudeći pomoć, slaže pridržavati se njenih odredbi.
c) PovjerljivostSudionik se mora strogo suzdržati od dijeljenja ili otkrivanja bilo kakvih informacija prikupljenih prema našoj politici trećim stranama bez naše prethodne i izričite suglasnosti.
Slično tome, nije dopušteno otkrivati ili odavati računalne podatke, komunikacijske podatke ili osobne podatke trećim stranama.
U slučaju da ranjivost može utjecati i na druge organizacije, sudionik ili odgovorna organizacija mogu svejedno obavijestiti organizaciju.
d) Bonafidno izvršenjeNaša organizacija se obvezuje provoditi ovu politiku u dobroj vjeri i ne pokretati pravne postupke, ni građanske ni kaznene, protiv sudionika koji se pridržava njenih uvjeta.
Sudionik mora biti bez namjere prijevare, namjere nanošenja štete, namjere korištenja ili namjere prouzročenja štete posjećenom sustavu ili njegovim podacima. Ovo se također odnosi na sustave trećih strana smještene u Njemačkoj ili inozemstvu.
Ako postoji bilo kakva sumnja u bilo koju od odredbi naše politike, sudionik mora prvo zatražiti pisanu suglasnost našeg kontaktnog mjesta prije nego što postupi.
e) Obrada osobnih podatakaSvrha CVDP-a nije namjerno obrađivati osobne podatke, ali je moguće da sudionik tijekom svog istraživanja ranjivosti mora obrađivati osobne podatke, čak i slučajno.
Obrada osobnih podataka je širokog opsega i uključuje pohranu, izmjenu, dohvaćanje, konzultiranje, korištenje ili otkrivanje bilo koje informacije koja bi se mogla odnositi na utvrđenu ili utvrdivu fizičku osobu. "Identificabilan" karakter osobe ne ovisi o samoj volji obrađivača podataka da identificira osobu, nego o mogućnosti izravnog ili neizravnog identificiranja osobe pomoću tih podataka (na primjer: adrese e-pošte, identifikacijskog broja, mrežnog identifikatora, IP adrese ili podataka o lokaciji).
Stoga je moguće da sudionik obrađuje osobne podatke u ograničenom opsegu. U slučaju obrade takvih podataka, sudionik se obvezuje poštovati zakonske obveze u vezi s zaštitom osobnih podataka i odredbe ove politike, osobito:
- Sudionik se obvezuje obrađivati osobne podatke isključivo u skladu s uputama naše organizacije, kako je opisano u ovoj politici, i isključivo u svrhu istraživanja ranjivosti u sustavima, opremi ili proizvodima naše organizacije. Svaka obrada osobnih podataka u bilo koju drugu svrhu je isključena.
- Sudionik se obvezuje ograničiti obradu osobnih podataka na ono što je potrebno u svrhu skeniranja ranjivosti.
- Sudionik će osigurati da osobe ovlaštene za obradu osobnih podataka preuzmu obvezu poštivanja povjerljivosti ili da su podložne odgovarajućoj zakonskoj obvezi povjerljivosti.
- Sudionik će provesti odgovarajuće tehničke i organizacijske mjere kako bi osigurao razinu sigurnosti primjerenu riziku (npr. šifriranje). Sudionik izjavljuje da razumije rizike povezane s provedbom ove politike te da posjeduje potrebnu stručnost i iskustvo za sigurno testiranje sustava, opreme i proizvoda naše organizacije u skladu s važećim zakonima i propisima.
- Sudionik se obvezuje da će nam, u mjeri u kojoj je to moguće i uzimajući u obzir prirodu obrade te informacije dostupne sudioniku, pomoći u ispunjavanju naših obveza vezanih uz ostvarivanje prava ispitanika, sigurnost obrade i svaku procjenu utjecaja.
- Sudionik se obvezuje obavijestiti nas o svakom povredi osobnih podataka što je prije moguće nakon što postane svjestan toga na [dopuniti odgovarajuća organizacija].
- Sudionik ne smije čuvati obrađene osobne podatke dulje nego što je potrebno. Tijekom tog razdoblja sudionik mora osigurati da se ti podaci pohranjuju s razinom sigurnosti primjerenom rizicima (po mogućnosti šifrirani). Po završetku sudjelovanja u politici ti se podaci moraju odmah izbrisati.
- Sudionik se obvezuje voditi registar kategorija aktivnosti obrade koje se provode u ime naše organizacije, uključujući opis sigurnosnih mjera koje je sudionik proveo.
Sudionik može surađivati s trećom stranom pri provođenju svog istraživanja. Sudionik će osigurati da je ta treća strana upoznata s ovom politikom i da se, pružajući pomoć, slaže poštivati njezine odredbe, uključujući povjerljivost i primjenu odgovarajućih sigurnosnih mjera. Sudionik potvrđuje da ostaje u potpunosti odgovoran našoj organizaciji ako treća strana koju je angažirao ne ispuni svoje obveze zaštite podataka.
Ako sudionik obrađuje osobne podatke koje je naša organizacija pohranila i/ili na drugi način obradila na način koji nije u skladu s ovom politikom ili u svrhe različite od istraživanja mogućih ranjivosti u sustavima, proizvodima i opremi naše organizacije, sudionik potvrđuje da će se smatrati voditeljem obrade i preuzeti punu odgovornost za takvu obradu.
3. Kako prijaviti ranjivost?
a) Kontaktna osobaTrebali biste slati samo informacije pronađene na sljedeću e-mail adresu. [email protected]
Također možete kontaktirati odjel ili osobu odgovornu za politiku na sljedećim telefonskim brojevima: +49 7161 1581 – 857
b) Informacije za komunikacijuŠto je prije moguće nakon otkrića pošaljite nam informacije o svojim nalazima koristeći obrasce iz Priloga I i Priloga II.
4. Postupak
a) OtkrićeKada sudionik postane svjestan informacija o potencijalnoj ranjivosti, trebao bi, gdje je to moguće, provesti prethodne provjere kako bi potvrdio postojanje ranjivosti i utvrdio sve povezane rizike.
b) ObavijestSudionik se obvezuje što je prije moguće obavijestiti kontaktnu točku (ili koordinatora (po želji)), navedenu u točki 3(a) ove politike, o tehničkim informacijama o mogućim ranjivostima. Sudionik mora poštovati određena sigurna sredstva komunikacije.
Po primitku obavijesti, naša organizacija se obvezuje poslati sudioniku, što je prije moguće, potvrdu o primitku [s, ako je moguće, internom referencom, podsjetnikom na glavne obveze CVDP-a] i sljedeće korake postupka.
c) KomunikacijaStrane se obvezuju uložiti sve napore kako bi osigurale kontinuiranu i učinkovitu komunikaciju. Informacije koje sudionik dostavi mogu biti vrlo korisne za utvrđivanje i rješavanje ranjivosti.
U nedostatku reakcije jedne od strana na CVDP nakon razumnog roka, strane se mogu obratiti "Bundesamt für Sicherheit in der Informationstechnik" kao koordinatoru.https://mip2.bsi.bund.de/
d) IstragaFaza istrage omogućit će našoj organizaciji da replicira okruženje i ponašanje koja su prijavljena kako bi se provjerile navedene informacije.
Naša organizacija se obvezuje redovito obavještavati sudionika o rezultatima istraga i o napretku postupanja po prijavi.
Tijekom ovog procesa, strane će osigurati povezivanje s sličnim ili povezanim izvještajima, procijeniti rizik i ozbiljnost ranjivosti te identificirati sve ostale pogođene proizvode ili sustave.
e) Razvoj rješenjaCilj politike objavljivanja je omogućiti razvoj rješenja za uklanjanje ranjivosti iz računalnog sustava prije nego što nastane bilo kakva šteta.
Uzimajući u obzir stanje znanja, troškove implementacije, ozbiljnost rizika za korisnike i tehnička ograničenja, naša će organizacija nastojati razviti rješenje u roku od 90 kalendarskih dana.
U ovoj fazi naša se organizacija i njezini partneri obvezuju provoditi pozitivna testiranja radi provjere ispravnog rada rješenja te negativna testiranja kako bi se osiguralo da rješenje ne ometa ispravno funkcioniranje ostalih postojećih funkcionalnosti.
f) Moguće javno objavljivanjeNaša organizacija će, u koordinaciji s sudionikom, odlučiti o modalitetima za konačno objavljivanje postojanja ranjivosti. To javno objavljivanje trebalo bi se dogoditi u najkraćem mogućem roku, zajedno s implementacijom rješenja i distribucijom sigurnosnog obavještenja korisnicima.
U slučaju ranjivosti koja također pogađa i druge organizacije, odgovorna organizacija mora u svakom slučaju obavijestiti "Bundesamt für Sicherheit in der Informationstechnik", čak i ako ne želi da se ranjivost javno objavi.
Naša je organizacija također posvećena prikupljanju povratnih informacija korisnika o implementaciji rješenja te poduzimanju potrebnih korektivnih mjera za rješavanje svih problema s rješenjem, uključujući kompatibilnost s drugim proizvodima ili uslugama.
5. Primjenjivo pravo
Njemačko pravo primjenjuje se na sve sporove koji proizlaze iz primjene ove politike.
6. Trajanje
Pravila politike primjenjuju se od 01.08.2024. do trenutka kada ih naša organizacija izmijeni ili ukloni. Takve izmjene ili uklanjanja bit će objavljene na mrežnoj stranici naše organizacije i automatski će stupiti na snagu 30 dana nakon objave.
Prilog I: Obrazac za prijavu ranjivosti
Ovdje možete preuzeti a PDF predložak, ispunite ga i pošalji ga nama