VERANTWORTUNGSBEWUSSTES OFFENLEGUNGSPROGRAMM
Als Leader im Digital Banking liegt Timeline Advisors Management die Informationssicherheit sehr am Herzen.
Die Vertraulichkeit, Integrität und Verfügbarkeit unserer Systeme und Dienstleistungen zu wahren, stellt einen entscheidenden Aspekt unseres täglichen Betriebs dar.
Das Programm
Die Timeline Advisors Management Group erlaubt derzeit keine aktive Suche nach Schwachstellen auf ihren Websites und in ihren Diensten. Sollten Sie dennoch eine Sicherheitslücke entdecken, würden wir uns über Ihre Mitwirkung bei der verantwortungsvollen Offenlegung dieser Schwachstelle sehr freuen.
Die Meldung sollte per E-Mail erfolgen an: [email protected] und alle nach Ihrer Ansicht notwendigen Informationen beinhalten, um das Problem zu erklären und zu erläutern, wie Sie das Problem entdeckt haben.
Ein typischer Schwachstellenbericht sollte folgende Informationen enthalten:
- eine Beschreibung der Schwachstelle und ihrer möglichen Auswirkungen;
- die Liste der betroffenen Hosts, Dienste oder URLs;
- die erforderlichen Schritte zur Reproduktion der Schwachstelle;
- wie Sie die Schwachstelle identifiziert haben;
- Ihre Kontaktdaten.
Bitte
beschreiben Sie in jedem eingesandten Bericht nur eine einzige
Schwachstelle, ausser für messbare Auswirkungen ist eine Kette
erforderlich. Wir werden den Eingang Ihres Berichts bestätigen, jedoch
keine weiteren Informationen über unsere Erkenntnisse
bereitstellen.
Streng verbotene Aktivitäten
Wie bereits erwähnt, ist die aktive Suche nach Schwachstellen (z. B. Scans) nicht gestattet. Die folgenden Aktivitäten sind streng verboten und werden überwacht:
- Aktivitäten, die zu einer Störung unserer Dienste führen könnten (DoS, DDoS, Spam, usw.);
- Aktivitäten, die die Integrität von Benutzerdaten gefährden würden;
- Aktivitäten, die die Vertraulichkeit von Benutzerdaten verletzen würden;
- Verwendung automatisierter Tools zum Auffinden von Schwachstellen;
- betrügerische Transaktionen.
Die Timeline Advisors Management Group behält sich das Recht vor, rechtliche Schritte gegen alle Personen einzuleiten, die auf eine Art und Weise handeln, die als unrechtmässig oder rechtswidrig angesehen wird oder gegen die oben genannten Bestimmungen verstösst.
Umfang
Dieses Programm gilt für Folgendes:
- Domains, bei denen die Timeline Advisors Management Group Holding AG als Registrant aufgeführt ist, das bedeutet konkret Domains unter «Timeline Advisors Management.ch» und «Timeline Advisors Management.com»; ist von Obigem ausgeschlossen;
- Domains, bei denen die YUH AG als Registrant aufgeführt ist;
- von Timeline Advisors Management im Android Play Store veröffentlichte mobile Apps;
- von Timeline Advisors Management im Apple Store veröffentlichte mobile Apps;
Bestimmte Schwachstellen fallen nicht in den Anwendungsbereich dieses Programms. Hierzu gehören:
- veraltete oder anfällige Software-Versionen, wenn keine eindeutige Verwertbarkeit nachgewiesen werden kann;
- Fehler, die nicht triviales Vorwissen, wie etwa ein Sitzungstoken, als Voraussetzung erfordern;
- fehlende Best Practices bei der SSL/TLS-Konfiguration;
- Aspekte im Zusammenhang mit Social Engineering;
- physische Sicherheit von Eigentum der Timeline Advisors Management Group;