Koordinierte Meldung von Sicherheitslücken

• Senden Sie Ihren Bericht in englischer Sprache an cvd@ptc.com
• Verwenden Sie unseren öffentlichen PGP-Schlüssel, den Sie auf dieser Webseite finden, oder andere Verschlüsselungsmethoden, um Ihre Nachricht zu verschlüsseln.
• Achten Sie darauf, dass Screenshots oder andere Dokumente oder Inhalte, die Sie uns zur Verfügung stellen, keine vertraulichen Informationen enthalten (lediglich Informationen, die sich auf die Sicherheitslücke beziehen).

Nach Eingang Ihrer Nachricht erhalten Sie von einem zuständigen PTC Mitarbeiter innerhalb von sieben (7) Kalendertagen eine Empfangsbestätigung.

Wir sind bereit, mit Sicherheitsforschern zu arbeiten, die sich an folgende Richtlinien halten:

• Vermeiden Sie Tests (Hacken) an aktiven Umgebungen. Verwenden Sie Test- oder Entwicklungsumgebungen für Tests auf Sicherheitslücken.
• Halten Sie sich an alle geltenden Gesetze und Regelungen.
• Greifen Sie nicht auf Daten in einem Konto oder System zu, über das Sie keine rechtliche Kontrolle haben, und nehmen Sie auch keine Änderungen an solchen Daten vor.
• Ziehen Sie keinen Vorteil aus der Sicherheitslücke oder sonstigen Problemen, die Sie entdecken. Ergreifen Sie keine unverhältnismäßigen oder illegalen Maßnahmen.
• Wir bitten Sie, die Veröffentlichung von Informationen zu erkannten Sicherheitslücken mit PTC abzustimmen, um Risiken für öffentliche Sicherheit, Datenschutz und Sicherheit zu minimieren.
• Informieren Sie uns bitte vor einer eventuellen Veröffentlichung über Ihre Pläne.
• Beziehen Sie DHS-ICS-CERT, CERT/CC, zuständige Regulierungsbehörden oder andere Behörden ein, wo sinnvoll.
• Teilen Sie uns Einzelheiten bezüglich der Kommunikation über die Sicherheitslücke (und CVE) mit Sicherheitslückenkoordinatoren mit.
• Bevorzugt: Gut formulierte Berichte in englischer Sprache können in der Regel schneller bearbeitet werden.
• Bevorzugt: Berichte mit entsprechenden Belegen aus dem Code ermöglichen uns eine bessere Sichtung.

• Innerhalb von sieben (7) Kalendertagen den Empfang bestätigen.
• Eine erste Beurteilung der potenziellen Erkenntnisse durchführen, um Genauigkeit, Eskalationsbedarf und zuständige Produktgruppe festzustellen. In dieser Phase:
• Erhalten Sie möglicherweise Anfragen nach zusätzlichen Informationen.
• Erhalten Sie möglicherweise eine Benachrichtigung, dass die Sicherheitslücke nicht in das Programm aufgenommen wird, weil sie die Programmkriterien nicht erfüllt oder keine ausreichenden Details bereitgestellt wurden. (Antworten auf Ablehnungen richten Sie bitte an cvd@ptc.com)
• Eine Lösung entwickeln und je nach Kritikalität der Sicherheitslücke angemessene Maßnahmen ergreifen.
• Den Sicherheitsforscher öffentlich bekannt geben, sofern dies gewünscht wird und der Bericht zu einer veröffentlichten Korrektur oder Mitteilung führt.

Wenn notwendig oder wenn wir nicht in der Lage sind, Kommunikations- oder andere Probleme zu lösen, kann PTC ggf. einen neutralen Dritten (z. B. CERT/CC, DHS-ICS-CERT oder die zuständige Regulierungsbehörde) hinzuziehen, um Unterstützung beim richtigen Umgang mit der Sicherheitslücke zu erhalten.

Hinweis: Alle Informationen, die an PTC übermittelt werden, können von PTC im eigenen Ermessen verwendet werden. Durch die Übermittlung von Informationen entstehen keine Rechte für den Sender und keine Pflichten für PTC.