Responsible Disclosure
Melden von Sicherheitslücken und Schwachstellen
Sind Sie auf eine Sicherheitslücke gestoßen? Bitte informieren Sie uns möglichst rasch. Helfen Sie mit, unsere IT-Systeme noch sicherer zu gestalten. Datenschutz und IT-Sicherheit haben für die Erste Bank und Sparkassen höchste Priorität. Obwohl wir unsere Systeme bestmöglich sichern, kann es zu Schwachstellen kommen.
Wo können Sie eine Sicherheitslücke melden?
Bitte melden Sie Schwachstellen an responsible-disclosure@scert.at
Nutzen Sie dafür möglichst verschlüsselte Kommunikation. Hier können Sie unseren PGP-Key runterladen:
Unsere Zusagen für das Melden von Schwachstellen
- Wir leiten keine rechtlichen Schritte ein.
- Wir behandeln Ihre Meldung streng vertraulich.
- Ihr Zugriff auf unsere Systeme wird nicht eingeschränkt.
Wichtig: Diese Zusagen gelten nur, wenn Sie unsere Richtlinien einhalten.
Unsere Richtlinien für das Melden von Schwachstellen
- Behandeln Sie erhobene Informationen vertraulich und informieren Sie nicht Dritte.
- Geben Sie uns ausreichend Zeit, die Schwachstellen zu erfassen und zu beheben.
- Verwenden Sie entdeckte Schwachstellen nur für Ihre eigenen Erhebungen.
- Verursachen Sie keine Schäden.
- Sie dürfen Daten nicht ausspähen, verändern, runterladen, löschen oder weitergeben.
- Führen Sie keine betrügerischen Transaktionen durch.
- Unternehmen Sie keine physischen Angriffe auf unser Eigentum oder unsere Datenzentren.
- Schränken Sie nicht die Verfügbarkeit unserer Systeme für unsere Kund:innen ein.
- Beschränken Sie Tests für das Aufspüren von Schwachstellen auf das absolut Notwendige.
- Betreiben Sie kein Social-Engineering oder Phishing bei unseren Mitarbeiter:innen.
- Kein Sammeln und Probieren von Benutzerkonten, kein Testen, ob bestimmte Konten existieren.
- Verwenden Sie für Tests nur Ihre eigenen Zugangsdaten.
- Melden Sie uns, welche Daten für den Nachweis der Schwachstelle unvermeidbar sichtbar waren.
- Verwenden Sie keine automatischen Scanner-Tools oder Penetration-Test-Tools.