Dies ist eine automatische Übersetzung. Die niederländische Fassung ist rechtlich maßgeblich.
Version 1.0
24werk.com legt großen Wert auf die Sicherheit ihrer Systeme, Nutzer und personenbezogenen Daten. Trotz der auf die Sicherheit verwendeten Sorgfalt kann es vorkommen, dass eine Schwachstelle entdeckt wird. Mit dieser Responsible-Disclosure- & Sicherheitsrichtlinie bietet 24werk.com Sicherheitsforschern, Nutzern und anderen Beteiligten die Möglichkeit, Schwachstellen auf verantwortungsvolle Weise zu melden. Ziel dieser Richtlinie ist es, die Sicherheit der Plattform zu verbessern und Kandidaten, Arbeitgeber und sonstige Nutzer zu schützen.
Artikel 1 – Zweck dieser Richtlinie
- Diese Richtlinie hat zum Ziel, Sicherheitsprobleme auf verantwortungsvolle Weise zu identifizieren und zu beheben.
- 24werk.com ermutigt zur Meldung von Schwachstellen.
- Melder, die in gutem Glauben handeln, müssen keine rechtlichen Schritte aufgrund ihrer Meldung befürchten, sofern diese Richtlinie vollständig eingehalten wird.
Artikel 2 – Anwendungsbereich
Diese Richtlinie gilt für:
- die Website 24werk.com
- Subdomains von 24werk.com
- Webanwendungen von 24werk.com
- APIs von 24werk.com
- Systeme, die Eigentum von 24werk.com sind oder von 24werk.com verwaltet werden
Diese Richtlinie gilt nicht für Systeme Dritter, die nicht der Kontrolle von 24werk.com unterliegen.
Artikel 3 – Meldungen von Schwachstellen
Eine Meldung kann sich unter anderem beziehen auf:
- unbefugten Zugriff
- Privilege Escalation
- Authentifizierungsprobleme
- Autorisierungsprobleme
- Datenlecks
- SQL-Injektionen
- Cross-Site Scripting (XSS)
- Remote Code Execution (RCE)
- CSRF-Schwachstellen
- Konfigurationsfehler
- Informationslecks
- Sicherheitsfehler in APIs
- andere Schwachstellen, die Auswirkungen auf Vertraulichkeit, Integrität oder Verfügbarkeit haben können
Artikel 4 – Verantwortungsvolles Handeln
Von Meldern wird erwartet, dass sie:
- sorgfältig handeln
- die Schwachstelle nicht missbrauchen
- keine Daten kopieren oder verbreiten
- keine Daten löschen oder ändern
- keine Konten übernehmen
- keine Systeme stören
- keine Malware platzieren
- keine Hintertüren installieren
- kein Social Engineering anwenden
Der Zweck der Untersuchung darf ausschließlich darin bestehen, die Schwachstelle festzustellen und zu melden.
Artikel 5 – Was nicht gestattet ist
Es ist nicht gestattet:
- personenbezogene Daten herunterzuladen
- Kandidatendaten zu exportieren
- Arbeitgeberdaten zu exportieren
- Systeme zu stören
- Denial-of-Service-Angriffe durchzuführen
- Brute-Force-Angriffe durchzuführen
- Phishing durchzuführen
- Konten zu übernehmen
- Schwachstellen öffentlich bekannt zu machen, bevor sie behoben sind
Artikel 6 – Inhalt einer Meldung
Eine Meldung enthält vorzugsweise:
- Name des Melders
- Kontaktdaten
- Datum der Entdeckung
- technische Beschreibung
- Impact-Analyse
- reproduzierbare Schritte
- Screenshots, sofern relevant
- gegebenenfalls einen Lösungsvorschlag
Je vollständiger die Meldung, desto schneller kann sie untersucht werden.
Artikel 7 – Behandlung von Meldungen
- 24werk.com wird Meldungen so schnell wie möglich beurteilen.
- Sofern erforderlich, können zusätzliche Informationen angefordert werden.
- 24werk.com bestimmt eigenständig die Priorität einer Meldung.
- 24werk.com kann beschließen, eine Schwachstelle sofort zu mindern, vorübergehend abzuschirmen oder endgültig zu beheben.
Artikel 8 – Vertraulichkeit
1. Meldungen werden vertraulich behandelt.
2. Der Melder wird Informationen über die Schwachstelle nicht öffentlich machen, bis:
- die Schwachstelle behoben ist; oder
- eine schriftliche Zustimmung von 24werk.com erteilt wurde
3. 24werk.com behandelt erhaltene Informationen ebenfalls vertraulich, soweit dies vernünftigerweise möglich ist.
Artikel 9 – Kein Belohnungsprogramm
1. 24werk.com betreibt derzeit kein Bug-Bounty-Programm. 2. Das Melden von Schwachstellen begründet keinen Anspruch auf:
- finanzielle Vergütung
- Belohnung
- Entschädigung
- vertragliche Beziehung
3. 24werk.com kann nach eigenem Ermessen beschließen, einem Melder zu danken oder ihn anzuerkennen.
Artikel 10 – Sicherheitsmaßnahmen
24werk.com strebt ein angemessenes Sicherheitsniveau an und kann unter anderem nutzen:
- verschlüsselte Verbindungen
- Zugriffskontrolle
- Logging
- Monitoring
- Authentifizierungsmechanismen
- Sicherheitsupdates
- Backup-Vorkehrungen
- Betrugserkennung
- Sicherheitsscans
24werk.com garantiert nicht, dass Systeme vollständig frei von Schwachstellen sind.
Artikel 11 – Datenlecks
1. Hat eine Schwachstelle möglicherweise zu einem Datenleck geführt, beurteilt 24werk.com die Situation gemäß der geltenden Datenschutzgesetzgebung.
- Sofern gesetzlich vorgeschrieben, können betroffene Personen oder Aufsichtsbehörden informiert werden.
- 24werk.com bestimmt eigenständig, ob ein meldepflichtiges Datenleck vorliegt.
Artikel 12 – Haftung
- Das Melden einer Schwachstelle begründet keine vertragliche Beziehung zwischen dem Melder und 24werk.com.
- 24werk.com übernimmt keine Haftung für Kosten, die einem Melder bei der Durchführung der Untersuchung entstehen.
- Soweit gesetzlich zulässig, ist jede Haftung ausgeschlossen.
Artikel 13 – Zusammenhang mit anderen Dokumenten
Diese Richtlinie ist in Zusammenhang zu lesen mit:
- den Allgemeinen Geschäftsbedingungen
- den Arbeitgeberbedingungen
- den Kandidatenbedingungen
- den Lieferbedingungen
- der Datenschutzerklärung
- der Cookie-Erklärung
- dem Haftungsausschluss
- der Antidiskriminierungsrichtlinie
- der Notice-&-Takedown-Prozedur
- der Beschwerderegelung
Artikel 14 – Änderungen
- 24werk.com behält sich das Recht vor, diese Richtlinie zu ändern.
- Die jeweils aktuelle Version wird auf der Plattform veröffentlicht.
- Die fortgesetzte Nutzung der Plattform gilt als Kenntnisnahme geänderter Versionen.
Artikel 15 – Kontakt
Schwachstellen können gemeldet werden über: 24werk.com E-Mail: info@24werk.com. Meldungen müssen ausreichende Informationen enthalten, um die Schwachstelle reproduzieren und beurteilen zu können. Diese Responsible-Disclosure- & Sicherheitsrichtlinie tritt am Tag der Veröffentlichung auf der Plattform in Kraft.
