Unser Anliegen
Our commitment
Die Sicherheit unserer Produkte und der Schutz unserer Kunden haben für uns hohe Priorität. Trotz sorgfältiger Entwicklung lassen sich Sicherheitslücken nie vollständig ausschließen. Wenn Sie eine Schwachstelle in einem unserer Produkte oder Dienste entdecken, bitten wir Sie, uns diese verantwortungsvoll zu melden. Wir nehmen jede Meldung ernst und arbeiten mit Ihnen zusammen an einer zeitnahen Behebung.
The security of our products and the protection of our customers are a high priority for us. Despite careful development, security vulnerabilities can never be entirely ruled out. If you discover a vulnerability in one of our products or services, we ask you to report it to us responsibly. We take every report seriously and work together with you on a timely remediation.
Geltungsbereich
Scope
Diese Richtlinie gilt für die Produkte und Dienste der ÖWD security systems GmbH & Co KG, insbesondere für die Produktlinie verolox.
This policy applies to the products and services of ÖWD security systems GmbH & Co KG, in particular to the verolox product line.
Meldung einer Schwachstelle
Reporting a vulnerability
Bitte senden Sie Ihre Meldung an support@verolox.dev.
Please send your report to support@verolox.dev.
Hilfreiche Angaben
Helpful information
Damit wir Ihre Meldung rasch bearbeiten können, helfen uns folgende Informationen:
To help us process your report quickly, the following information is useful:
- Betroffenes Produkt und betroffene Version
- Beschreibung der Schwachstelle und der möglichen Auswirkungen
- Schritte zur Reproduktion (Proof of Concept, sofern vorhanden)
- Technische Rahmenbedingungen (Konfiguration, Umgebung)
- Ihre Kontaktdaten für Rückfragen
- Affected product and version
- Description of the vulnerability and its potential impact
- Steps to reproduce (proof of concept, if available)
- Technical context (configuration, environment)
- Your contact details for follow-up questions
Unser Umgang mit Ihrer Meldung
How we handle your report
| Schritt | Frist |
|---|---|
| Eingangsbestätigung | innerhalb von 48 Stunden |
| Erstbewertung der Meldung | innerhalb von 5 Werktagen |
| Laufende Information über den Bearbeitungsstand | nach Bedarf, bis zur Behebung |
| Step | Timeline |
|---|---|
| Acknowledgement of receipt | within 48 hours |
| Initial assessment of the report | within 5 business days |
| Ongoing updates on the processing status | as needed, until remediation |
Wir bewerten die gemeldete Schwachstelle nach Schweregrad (CVSS) und beheben sie gemäß unseren internen Service-Level-Vorgaben:
We assess the reported vulnerability by severity (CVSS) and remediate it in accordance with our internal service-level targets:
| Schweregrad (CVSS) | Behebungsziel |
|---|---|
| Kritisch (≥ 9,0) | innerhalb von 24 Stunden |
| Hoch (7,0–8,9) | innerhalb von 7 Tagen |
| Mittel (4,0–6,9) | innerhalb von 30 Tagen |
| Niedrig (< 4,0) | mit dem nächsten regulären Release |
| Severity (CVSS) | Remediation target |
|---|---|
| Critical (≥ 9.0) | within 24 hours |
| High (7.0–8.9) | within 7 days |
| Medium (4.0–6.9) | within 30 days |
| Low (< 4.0) | with the next regular release |
Safe Harbor
Wir betrachten eine Sicherheitsforschung, die im Einklang mit dieser Richtlinie erfolgt, als autorisiert und zulässig. Solange Sie sich an diese Richtlinie halten, werden wir keine rechtlichen Schritte gegen Sie einleiten und Ihre Meldung als gutgläubig behandeln. Bitte beachten Sie dabei:
We consider security research conducted in accordance with this policy to be authorised and permitted. As long as you comply with this policy, we will not pursue legal action against you and will treat your report as made in good faith. Please observe the following:
- Greifen Sie ausschließlich auf eigene Konten oder Testdaten zu; vermeiden Sie den Zugriff auf personenbezogene Daten Dritter.
- Beeinträchtigen Sie nicht den laufenden Betrieb (keine Denial-of-Service-Angriffe, keine Veränderung oder Löschung von Daten).
- Geben Sie uns angemessene Zeit zur Behebung, bevor Sie Informationen zur Schwachstelle veröffentlichen.
- Access only your own accounts or test data; avoid accessing the personal data of third parties.
- Do not disrupt ongoing operations (no denial-of-service attacks, no modification or deletion of data).
- Give us reasonable time to remediate before publishing information about the vulnerability.
Koordinierte Veröffentlichung
Coordinated disclosure
Wir bitten Sie, Details zu einer gemeldeten Schwachstelle erst nach erfolgter Behebung und in Abstimmung mit uns zu veröffentlichen. Wir stimmen den Zeitpunkt einer Veröffentlichung gemeinsam mit Ihnen ab.
We ask you to disclose details of a reported vulnerability only after remediation and in coordination with us. We will agree on the timing of any disclosure together with you.
Anerkennung
Acknowledgement
Auf Wunsch nennen wir Sie als Entdeckerin oder Entdecker einer Schwachstelle in unserer Danksagung. Teilen Sie uns einfach mit, ob und in welcher Form Sie genannt werden möchten.
On request, we will credit you as the discoverer of a vulnerability in our acknowledgements. Simply let us know whether and in what form you would like to be named.
Keine Vergütung
No remuneration
Diese Richtlinie begründet kein Bug-Bounty-Programm; für Meldungen wird keine finanzielle Vergütung gewährt.
This policy does not establish a bug bounty programme; no financial remuneration is granted for reports.