Vulnerability Disclosure Policy

Die Sicherheit unserer Systeme und der Daten unserer Kunden hat für nueprice hohe Priorität. Wenn Sie eine mögliche Sicherheitslücke entdecken, bitten wir Sie um eine verantwortungsvolle Meldung, damit wir den Hinweis prüfen und geeignete Maßnahmen ergreifen können.

Kontakt

Bitte senden Sie Sicherheitsmeldungen an security@nueprice.com.

Damit wir Ihre Meldung effizient prüfen können, fügen Sie bitte nach Möglichkeit folgende Informationen hinzu:

  • eine nachvollziehbare Beschreibung der Schwachstelle,
  • betroffene Domain, URL, API, Funktion oder Komponente,
  • Schritte zur Reproduktion mit minimalem Eingriff,
  • mögliche Auswirkungen und Risikoeinschätzung,
  • relevante Screenshots, Logs oder Proof-of-Concepts,
  • Ihre Kontaktdaten für Rückfragen.

Bitte übermitteln Sie keine sensiblen Kundendaten, personenbezogenen Daten Dritter oder umfangreichen Datenbestände. Falls Sie während Ihrer Untersuchung unbeabsichtigt auf solche Daten stoßen, beenden Sie die Untersuchung an dieser Stelle und melden Sie den Fund umgehend.

Scope

Diese Richtlinie gilt für öffentlich erreichbare Systeme, Domains und Dienste, die von der nueprice GmbH betrieben werden, insbesondere:

  • nueprice.com und Subdomains,
  • die nueprice Website,
  • öffentlich erreichbare nueprice Anwendungen, Schnittstellen und APIs, soweit diese eindeutig nueprice zugeordnet sind.

Nicht im Scope sind:

  • Systeme, Domains und Dienste Dritter, auch wenn sie mit nueprice verlinkt oder integriert sind,
  • Social Engineering, Phishing, Spam oder Täuschung von Mitarbeitenden, Kunden oder Partnern,
  • physische Angriffe, Zutrittsversuche oder Angriffe auf Bürostandorte,
  • Denial-of-Service-Tests, Lasttests oder andere Tests, die Verfügbarkeit, Integrität oder Vertraulichkeit beeinträchtigen können,
  • automatisierte Scans mit hoher Anfragefrequenz,
  • das Ausnutzen einer Schwachstelle über den minimal erforderlichen Nachweis hinaus,
  • Zugriff, Veränderung, Exfiltration oder Löschung von Daten, die Ihnen nicht gehören.

Erwartungen an Sicherheitsforschende

Bitte handeln Sie jederzeit in gutem Glauben und mit möglichst geringer Auswirkung auf unsere Systeme und Nutzer. Nutzen Sie nur Testkonten oder eigene Daten, vermeiden Sie Unterbrechungen des Betriebs und geben Sie Informationen zur Schwachstelle nicht öffentlich weiter, bevor wir die Prüfung abgeschlossen und eine angemessene Behebung vorgenommen haben.

Response-Zeit

Wir bestätigen den Eingang Ihrer Meldung in der Regel innerhalb von 5 Werktagen.

Nach der Eingangsbestätigung prüfen wir Ihre Meldung und geben Ihnen, soweit möglich, innerhalb von 10 weiteren Werktagen eine erste Einschätzung. Bei komplexeren Fällen informieren wir Sie über den weiteren Verlauf und melden uns mit Statusupdates, sobald es relevante Fortschritte gibt.

Die tatsächliche Bearbeitungszeit hängt von Schweregrad, Reproduzierbarkeit und Umfang der erforderlichen Maßnahmen ab.

Safe Harbor

Wenn Sie diese Richtlinie einhalten, in gutem Glauben handeln und uns eine Schwachstelle verantwortungsvoll melden, betrachtet nueprice Ihre Sicherheitsforschung als autorisiert. Wir werden in diesem Fall keine rechtlichen Schritte gegen Sie einleiten oder unterstützen, soweit Ihre Handlungen ausschließlich der Identifikation, Meldung und verantwortungsvollen Offenlegung der Schwachstelle dienen.

Dieser Safe Harbor gilt nicht für Handlungen, die außerhalb dieser Richtlinie liegen, insbesondere für Erpressung, Datenmissbrauch, absichtliche Schädigung, Störung des Betriebs, Social Engineering, physische Angriffe oder den Zugriff auf Daten über das für den Nachweis der Schwachstelle unbedingt erforderliche Maß hinaus.

Sollten Dritte aufgrund Ihrer Forschung rechtliche Ansprüche geltend machen, können wir keine verbindliche Aussage für diese Dritten treffen. Bitte achten Sie daher besonders darauf, keine Rechte oder Daten Dritter zu verletzen.

Veröffentlichung

Bitte veröffentlichen Sie Details zu einer gemeldeten Schwachstelle erst nach unserer ausdrücklichen Zustimmung. Wir bemühen uns um eine kooperative, transparente Klärung und geben eine Veröffentlichung frei, sobald die Schwachstelle behoben oder angemessen mitigiert wurde.