Sicherheitslücken melden

Wir wissen es sehr zu schätzen, wenn Kunden und sogenannte Security Researcher uns auf Sicherheitslücken in unserer Software und Infrastruktur hinweisen.

Wir unterstützen Kunden und Researcher dabei, die Sicherheit unseres Produktes und unserer Infrastruktur zu testen, sofern dies verantwortungsvoll geschieht. Wenn Sie beabsichtigen, einen solchen Test durchzuführen, kontaktieren Sie bitte unseren Support und bitten um eine Kooperationsvereinbarung, die wir für diesen Zweck vorgesehen haben. Darin finden Sie Hinweise für die Zusammenarbeit mit uns, die dafür sorgen, dass unser Sicherheitsteam Ihre Tests nicht behindert, wenn sie bei unseren Kontrollen entdeckt werden.

 

Ergebnisse mitteilen

Wenn Sie (mögliche) Sicherheitslücken festgestellt haben, bitten wir Sie, uns diese mitzuteilen. Wir bemühen uns, Ihre Mitteilung innerhalb eines Arbeitstages zu prüfen und Sie über das Ergebnis dieser Prüfung sowie ggf. Maßnahmen zur Fehlerbehebung zu informieren. Sie können Ihre Ergebnisse über einen der folgenden Kanäle an uns kommunizieren:

Weitere Bearbeitung

Wir behandeln Sicherheitslücken mit hoher Priorität. Wenn möglich und nötig werden direkte Risikominimierungsschritte unternommen oder angeboten.

Wenn eine Änderung am Produkt notwendig ist, um eine Lücke zu schließen, beginnen wir sofort daran zu arbeiten und integrieren die Änderungen in das nächste Update unseres Produktes.

Kunden, die TOPdesk als SaaS-Variante gewählt haben, werden automatisch aktualisiert. Die nächsten geplanten On-Premises-Releases enthalten ebenfalls die notwendigen Änderungen. Da unsere On-Premises-Kunden Updates herunterladen, installieren und testen müssen, bevor sie produktiv genutzt werden können, bitten wir Sie gefundene Sicherheitslücken, erst nach mindestens 90 Tagen nach der ersten Meldung, zu veröffentlichen.

In unserem Bestreben ein verantwortungsbewusster Lieferant zu sein, unterstützen wir die vom niederländischen National Cyber Security Center veröffentlichten Richtlinien.