TrustSource Sicherheitsrichtlinie

Gültig bis: 2027-01-10

Bei TrustSource nehmen wir die Sicherheit Ihrer Lösungen ernst. Da unsere Plattform Teil Ihrer Lösung ist, ist die Sicherheit unserer Dienste für uns ein zentrales Anliegen. Die folgenden Abschnitte zeigen Ihnen, wie Sie mit uns in Sicherheitsfragen in Kontakt treten können.

Sicherheitsinformationen

Informationen zur Sicherheit unserer Lösungen finden Sie hier:

• Aktueller Betriebsstatus auf unserer System-Statusseite
• Verantwortlichkeiten im Shared Security Responsibility Model
• RSS-Feed zu Schwachstellenmeldungen: Vulnerability Disclosure Feed
• Metadaten unseres CSAF-Providers
• Produkt-spezifische Sicherheitsinformationen in der SECURITY.TXT im Root jedes Code-Repositories

Schwachstelle melden

Bitte nutzen Sie einen der folgenden Wege, um uns eine Schwachstelle zu melden.

Per E-Mail

1. E-Mail an support@trustsource.io mit dem Betreff Security Alert. Die E-Mail sollte enthalten:
   • Beschreibung der Situation und kurze Zusammenfassung des Problems
   • Genaue, nachvollziehbare Schritte zur Reproduktion (inkl. Screenshots)
   • Betroffenes Werkzeug und Version
   • Nachgewiesene Auswirkung, die über die aktuelle Benutzersitzung hinausgeht
   • Ihre Umgebungsdetails, falls relevant
   • Mögliche Gegenmaßnahmen, falls bekannt
   • Ihre Kontaktdaten, damit wir Rückfragen stellen und Sie würdigen können
2. Bitte verschlüsseln Sie Ihre Nachricht mit unserem öffentlichen PGP-Schlüssel:
   TrustSource Public Key für Schwachstellenmeldungen

   -----BEGIN PGP PUBLIC KEY BLOCK-----
   
   mDMEZ8mVABYJKwYBBAHaRw8BAQdAKaJDF5z4SVLY6QWbvGOumHzYy3SwiZO4675h
   vRWUIfu0LFRydXN0c291cmNlIFN1cHBvcnQgPHN1cHBvcnRAdHJ1c3Rzb3VyY2Uu
   aW8+iJkEExYKAEEWIQTC/VJX2vOkYV1Ovo1r72GPkZsUxQUCZ8mVAAIbAwUJA4B8
   AAULCQgHAgIiAgYVCgkICwIEFgIDAQIeBwIXgAAKCRBr72GPkZsUxd/kAP9RmiMB
   XmRhVWUu2bpVPGZ5Y5d1YHpfNoHc73P4On9U+AD9FRlju+xM96HlW/W1QoijMsgM
   CIrT4quEHyRVT4FBIAS4OARnyZUAEgorBgEEAZdVAQUBAQdAYXgN7RKGHDcF40Wl
   +1UjaG+ZHovuI1yWv2+yntnf208DAQgHiH4EGBYKACYWIQTC/VJX2vOkYV1Ovo1r
   72GPkZsUxQUCZ8mVAAIbDAUJA4B8AAAKCRBr72GPkZsUxVT7AP9U0GGQZsfW+fwk
   vC8rjwPtCyTzKB6EWUTCh7ZO+KubCQD+Im+8wA1HwBSA5GO8zZE9M+bP6FS4En47
   emHrCtOwiww=
   =X+VR
   -----END PGP PUBLIC KEY BLOCK-----

   Fingerprint: C2FD5257DAF3A4615D4EBE8D6BEF618F919B14C5

   Verschlüsselung mit GPG

   1. Kopieren Sie den Schlüssel oben (inkl. -----BEGIN und -----END) und speichern Sie ihn als ts-pubkey.txt
   2. Speichern Sie Ihre Nachricht als myMsg.txt im gleichen Verzeichnis
   3. Schlüssel importieren: gpg --import ts-pubkey.txt
   4. Nachricht verschlüsseln: gpg --encrypt -r support@trustsource.io -o myMsg.gpg myMsg.txt
   5. Datei myMsg.gpg an die E-Mail anhängen

   Falls GPG nicht installiert ist: gpgtools.org

3. Sie erhalten innerhalb von 1 Werktag eine Eingangsbestätigung von einem unserer Ingenieure.
4. Wir melden uns bei Rückfragen, um den Umfang des Problems zu verstehen.

Per Webformular

Alternativ nutzen Sie unser Kontaktformular. Sie erhalten eine Bestätigungs-E-Mail und wir melden uns innerhalb von 1 Werktag.

Disclosure-Zeitraum

Wir bearbeiten Meldungen so schnell wie möglich. Je nach Komplexität der Dokumentation, Auswirkungsanalyse und Gegenmaßnahmen kann dies einige Zeit in Anspruch nehmen. Sie können davon ausgehen, dass wir einen maximalen Disclosure-Zeitraum von 90 Tagen einhalten.

Bug Bounty

Wir schätzen alle Security-Forscher, die zur Sicherheit unserer Plattform beitragen, und würdigen sie in unserer Hall of Fame. Gelegentlich führen wir ein Bug-Bounty-Programm durch — bei Interesse wenden Sie sich gerne über unser Kontaktformular an uns.

Wir vergeben keine Bounty für Meldungen, die:

• Keine nachgewiesene Auswirkung über die aktuelle Benutzersitzung hinaus zeigen
• Das Deaktivieren von Antivirensoftware oder das Zusenden von Schadsoftware erfordern
• Das Umgehen normaler Sicherheitskontrollen voraussetzen
• Schwachstellen betreffen, für die seit weniger als einem Monat ein offizieller Patch verfügbar ist
• Self-XSS oder XSS mit unwahrscheinlicher Nutzerinteraktion betreffen
• Open Redirect betreffen — sofern kein zusätzliches Sicherheitsrisiko nachgewiesen wird
• Man-in-the-Middle-Angriffe (MITM) erfordern
• Tabnabbing betreffen
• E-Mail-Konfigurationsprobleme (SPF, DKIM, DMARC) betreffen
• Erzwungenes Login/Logout-CSRF betreffen
• Kontosperrung durch wiederholte Fehleingaben betreffen
• Passwort-Komplexität oder Kontowiederherstellungsrichtlinien betreffen
• HTTPS Mixed Content betreffen
• Fehlende HTTP-Security-Header betreffen (Strict-Transport-Security, X-Frame-Options, X-XSS-Protection, X-Content-Type-Options, Content-Security-Policy)
• Die Aktivierung der HTTP-Methode OPTIONS betreffen

Für eine Bounty muss eine ernsthafte Meldung mit nachgewiesenem Schaden eingereicht werden, der über die aktuelle Benutzersitzung hinausgeht. Zudem honorieren wir nur Forscher, die sich mit vollständigem Namen und Adresse identifizieren. Die Auszahlung erfolgt ausschließlich auf ein internationales Bankkonto — Zahlungen per PayPal oder Kryptowährung sind nicht möglich.