TQG – Lottery Solutions Richtlinie zur Offenlegung von Schwachstellen

Einführung

TQG – Lottery Solutions begrüßt das Feedback von Sicherheitsforschern und der Öffentlichkeit, um unsere Sicherheit zu verbessern. Wenn Sie glauben, dass Sie eine Schwachstelle, ein Datenschutzproblem, exponierte Daten oder andere Sicherheitsprobleme in einer unserer Anlagen entdeckt haben, möchten wir von Ihnen hören. Diese Richtlinie beschreibt, wie Sie uns Schwachstellen melden können, was wir erwarten und was Sie von uns erwarten können.

Systeme im Geltungsbereich

Diese Richtlinie gilt für alle digitalen Anlagen, die sich im Besitz von TQG – Lottery Solutions befinden, von uns betrieben oder gewartet werden.

Außerhalb des Geltungsbereichs

Anlagen oder andere Geräte, die nicht im Besitz von Parteien sind, die an dieser Richtlinie teilnehmen.
Schwachstellen, die in Systemen außerhalb des Geltungsbereichs entdeckt oder vermutet werden, sollten dem entsprechenden Anbieter oder der zuständigen Behörde gemeldet werden.

Unsere Verpflichtungen

Wenn Sie mit uns gemäß dieser Richtlinie zusammenarbeiten, können Sie von uns Folgendes erwarten:

– Wir reagieren umgehend auf Ihre Meldung und arbeiten mit Ihnen zusammen, um Ihre Meldung zu verstehen und zu validieren;
– uns bemühen, Sie über den Fortschritt der Bearbeitung einer Schwachstelle zu informieren;
– daran arbeiten, entdeckte Schwachstellen im Rahmen unserer betrieblichen Möglichkeiten zeitnah zu beheben; und
– Safe Harbor für Ihre Schwachstellenforschung, die mit dieser Richtlinie zusammenhängt, ausweiten.

Unsere Erwartungen

Wenn Sie in gutem Glauben an unserem Programm zur Offenlegung von Sicherheitslücken teilnehmen, bitten wir Sie um Folgendes:

– Halten Sie sich an die Regeln, einschließlich der Befolgung dieser Richtlinie und aller anderen relevanten Vereinbarungen. Bei Unstimmigkeiten zwischen dieser Richtlinie und anderen geltenden Bestimmungen haben die Bestimmungen dieser Richtlinie Vorrang;
– Melden Sie jede Sicherheitslücke, die Sie entdeckt haben, unverzüglich;
– Vermeiden Sie es, die Privatsphäre anderer zu verletzen, unsere Systeme zu stören, Daten zu zerstören und/oder die Benutzererfahrung zu beeinträchtigen;
– Verwenden Sie nur die offiziellen Kanäle, um Informationen über Sicherheitslücken mit uns zu besprechen;
– Geben Sie uns eine angemessene Zeitspanne (mindestens 90 Tage nach der ersten Meldung), um das Problem zu lösen, bevor Sie es öffentlich machen;
– Führen Sie Tests nur an Systemen durch, die in den Geltungsbereich fallen, und respektieren Sie Systeme und Aktivitäten, die nicht in den Geltungsbereich fallen;
– Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten ermöglicht: Begrenzen Sie die Menge der Daten, auf die Sie zugreifen, auf das Minimum, das für die effektive Demonstration eines Konzeptnachweises erforderlich ist, und stellen Sie die Tests ein und reichen Sie sofort einen Bericht ein, wenn Sie während der Tests auf Benutzerdaten wie personenbezogene Daten (PII), persönliche Gesundheitsdaten (PHI), Kreditkartendaten oder geschützte Informationen stoßen;
– Sie sollten nur mit Testkonten interagieren, die Ihnen gehören oder für die Sie die ausdrückliche Genehmigung des Kontoinhabers haben; und
– Lassen Sie sich nicht auf Erpressung ein.

Offizielle Kanäle

Bitte melden Sie Sicherheitsprobleme über und geben Sie dabei alle relevanten Informationen an. Je mehr Details Sie uns zur Verfügung stellen, desto einfacher wird es für uns sein, das Problem einzugrenzen und zu beheben.

Safe Harbor

Bei der Durchführung von Schwachstellenforschung gemäß dieser Richtlinie betrachten wir diese Forschung im Rahmen dieser Richtlinie als:

– Genehmigt im Hinblick auf alle anwendbaren Anti-Hacking-Gesetze, und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einleiten oder unterstützen;
– Genehmigt in Bezug auf alle einschlägigen Gesetze gegen Umgehung und wir werden keine Klage gegen Sie wegen Umgehung von Technologiekontrollen einreichen;
– Ausgenommen von Beschränkungen in unseren Nutzungsbedingungen (Terms of Service, TOS) und/oder Acceptable Usage Policy (AUP), die die Durchführung von Sicherheitsforschung beeinträchtigen würden, und wir verzichten auf diese Beschränkungen auf einer begrenzten Basis und
– rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.
Es wird von Ihnen erwartet, dass Sie wie immer alle geltenden Gesetze einhalten. Sollte ein Dritter rechtliche Schritte gegen Sie einleiten und Sie haben sich an diese Richtlinie gehalten, werden wir Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie erfolgten.

Sollten Sie zu irgendeinem Zeitpunkt Bedenken haben oder sich nicht sicher sein, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte einen Bericht über einen unserer offiziellen Kanäle ein, bevor Sie weitere Schritte unternehmen.

Beachten Sie, dass die Safe-Harbor-Richtlinie nur für Rechtsansprüche gilt, die unter der Kontrolle der an dieser Richtlinie beteiligten Organisation stehen, und dass die Richtlinie keine unabhängigen Dritten bindet.




    Live-Demo anfordern

    Sie interessieren sich für eine Live-Demo?

    HIER KLICKEN