Swiss Life freut sich über Rückmeldungen von Sicherheitsforschern und der breiten Öffentlichkeit, um zur Verbesserung unserer Sicherheit beizutragen. Wenn Sie glauben, dass Sie eine Schwachstelle, ein Datenschutzproblem, offengelegte Daten oder andere Sicherheitsprobleme in einem unserer Systeme entdeckt haben, möchten wir gerne von Ihnen hören. Vorfälle melden Sie bitte über das untenstehende Formular. Diese Richtlinie beschreibt die Schritte zum Melden von Schwachstellen an uns, was wir erwarten und was Sie von uns erwarten können.

Geltungsbereich

Diese Richtlinie gilt für alle digitalen Assets, die Swiss Life besitzt, betreibt oder pflegt. Der Fokus liegt auf den Webportalen der Swisslife in Deutschland. Zu nennen sind hier folgende Domänen: *swisslife.de, *swisslife-select.de, *swisslife-weboffice.de Weitere Hinweise sind willkommen.

Unsere Verpflichtung

Wenn Sie mit uns gemäß dieser Richtlinie zusammenarbeiten, können Sie Folgendes von uns erwarten:

  • Wir reagieren umgehend auf Ihre Meldung.
  • Wir ergreifen schnellstmöglich Maßnahmen um die Sicherheitslücke zu schließen.
  • Wir bemühen uns Sie über den Fortschritt zu informieren.
  • Wir behandeln Ihren Report und Ihre personenbezogenen Daten streng vertraulich.
  • Wir werden ihren Zugang zu unseren Webportalen nicht einschränken.
  • Wir halten uns an unsere Vulnerability Disclosure Policy.

Unsere Erwartungen

Wenn Sie mit guten Absichten uns helfen möchten Schwachstellen offen zu legen, bitten wir Sie:

  • Halten Sie sich an die Regeln, einschließlich der Einhaltung dieser Richtlinie und aller anderen relevanten Vereinbarungen. Bei Widersprüchen zwischen dieser Richtlinie und anderen anwendbaren Bedingungen haben die Bedingungen dieser Richtlinie Vorrang.
  • Vermeiden Sie es, die Privatsphäre anderer zu verletzen (z.B. kein Social Engineering, Phishing, Spam).
  • Vermeiden Sie es unsere Systeme zu stören und/oder die Benutzererfahrung zu beeinträchtigen (z.B. Kein DDOS).
  • Sie dürfen keine Daten ausspähen, verändern, herunterladen, löschen oder weitergeben.
  • Verwenden Sie nur die offiziellen Kanäle, um Informationen zu Schwachstellen mit uns zu besprechen.
  • Geben Sie uns eine angemessene Zeit (mindestens 90 Tage ab der ersten Meldung), um das Problem zu lösen, bevor Sie es öffentlich machen.
  • Führen Sie Tests nur auf innerhalb des Geltungsbereichs (siehe oben) liegenden Systemen durch und respektieren Sie Systeme und Aktivitäten, die außerhalb des Geltungsbereichs liegen.
  • Stellen Sie das Testen unverzüglich ein und reichen einen Bericht ein, wenn Sie auf DSGVO relevante Daten stoßen.
  • Nutzen Sie nur Zugangsdaten die Ihnen gehören oder mit ausdrücklicher Genehmigung des Kontoinhabers.

Inhalt Ihrer Meldung

Ein Bericht den Sie uns einsenden sollte folgendes enthalten:

  • Typ der Schwachstelle
  • Beschreibung der Schwachstelle (inkl. verwendeten Browser und ggf. Browsereinstellungen)
  • Beispiel (eindeutiger Request oder PoC Code)
  • Hinreichend Informationen, damit das Problem reproduzierbar und analysierbar ist
  • Am besten Schritt für Schritt Anleitung
  • Screenshots sind willkommen
  • Aufzeigen einer Lösungsmöglichkeit ist willkommen
  • Kontaktmöglichkeit für Rückfragen ist willkommen

Das soll z.B. reportet werden:

  • Cross scripting (XSS) vulnerabilities
  • SQL injection vulnerabilities
  • Encryption vulnerabilities
  • Cross Site Request Forgery (CSRF)
  • Insecure Direct Object Reference
  • Remote Code Execution (RCE) – Injection Flaws
  • Möglichkeit der Exfiltration von Daten / Informationen
  • Aktiv ausnutzbare Hintertüren (Backdoors)
  • Möglichkeit einer unautorisierten System-Nutzung

Das soll z.B. nicht reportet werden:

  • Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation
  • Meldungen zu Fehlen eines Sicherheitsfeatures ohne Ausnutzbarkeit
  • Preisgeben nicht-sensitiver Informationen

Vulnerability Disclosure Policy

Bei der Durchführung von Schwachstellenforschung gemäß dieser Richtlinie betrachten wir diese Forschung, die im Rahmen dieser Richtlinie durchgeführt wird, als:

  • Autorisiert in Bezug auf geltende Anti-Hacking-Gesetze und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstöße gegen diese Gesetze einleiten oder unterstützen.
  • Autorisiert in Bezug auf relevante Antiumgehungsgesetze und wir werden keine Ansprüche wegen Umgehung von Technologiekontrollen gegen Sie geltend machen.
  • Ausgenommen von Einschränkungen in unseren Nutzungsbedingungen, die die Durchführung von Sicherheitsforschung beeinträchtigen würden und wir verzichten auf diese Einschränkungen in begrenztem Umfang.
  • Rechtmäßig, hilfreich für die Gesamtsicherheit des Internets und in gutem Glauben durchgeführt.

Wie immer wird von Ihnen erwartet, dass Sie alle geltenden Gesetze einhalten. Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie sich an diese Richtlinie gehalten haben, werden wir Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte einen Bericht über einen unserer offiziellen Kanäle ein, bevor Sie fortfahren. Beachten Sie, dass die Vulnerability Disclosure Policy nur für Rechtsansprüche gilt, die unter der Kontrolle der Organisation stehen, die an dieser Richtlinie teilnimmt, und dass die Richtlinie keine unabhängigen Dritten bindet.

Bitte akzeptieren Sie die Sicherheits-Cookies, damit Sie das Formular verwenden können! Cookie-Einstellungen