Vulnerability Disclosure Policy (VDP)

Scope

Alle öffentlich zugänglichen digitalen Vermögenswerte, die sich im Besitz der Mobiliar befinden, von ihr betrieben oder verwaltet werden. 

Out of Scope

Bitte beachten Sie, dass

• wir für einige Teile unserer Systeme und Infrastruktur, Dienste von anderen Unternehmen und/oder Organisationen nutzen.
• es einige Systeme in unserer Infrastruktur gibt, die nicht direkt unter unserer Kontrolle stehen.

Schwachstellen, die in diesen Systemen entdeckt oder vermutet werden, sind dem entsprechenden Anbieter oder der zuständigen Behörde zu melden. Sollten diese dennoch über diesen Kanal eingereicht werden, leiten wir die Schwachstelle an die relevante Organisation weiter. Der Eigentümer des betroffenen IT-Systems bleibt jedoch für das System und mögliche Massnahmen zur Behebung verantwortlich.

Unsere Verpflichtung 

Bei der Zusammenarbeit mit uns im Rahmen dieser Policy, können Sie folgendes von uns erwarten:

• Zeitnahe Reaktion, um den Eingang der Schwachstellenmeldung zu bestätigen
• Proaktive Zusammenarbeit, um die Meldung nachvollziehen zu können und zu validieren
• Offener Dialog, um allfällige Probleme oder Herausforderungen zu besprechen
• Eine möglichst zeitnahe Behebung der entdeckten Schwachstellen
• Einschätzung des Zeitrahmens für die Bearbeitung der Schwachstellenmeldung
• Auf dem Laufenden halten über den Fortschritt des Bearbeitungsprozesses der Schwachstelle
• Benachrichtigung, wenn die Schwachstelle behoben wurde
• Würdigung, wenn Sie als Erster eine einzigartige Schwachstelle melden und Ihre Meldung eine Code- oder Konfigurationsänderung nach sich zieht
• Bereitstellung eines Legal Safe Harbors mittels dieser Policy, um das proaktive Finden von Schwachstellen zu ermöglichen

Unsere Erwartungen 

Bei der Teilnahme an unserem Vulnerability Disclosure Programms, erwarten wir von Ihnen:

• Sich an die Regeln und Anweisungen zu halten, die in dieser Policy beschrieben sind
• In der Zusammenarbeit und daraus resultierenden Meldungen keine geltenden Gesetze zu verletzen
• Uns jede entdeckte Schwachstelle umgehend zu melden
• Die entdeckten Schwachstellen nicht auszunutzen oder anderweitig zu verwenden, ausser zum Zweck der Meldung an uns
• Die Privatsphäre anderer zu respektieren, unsere Systeme nicht zu stören, Daten nicht zu zerstören und andere Benutzer der Systeme nicht zu beeinträchtigen
• Nur die offiziellen Kanäle zur Meldung zu nutzen, um Informationen bezüglich Schwachstellen mit uns zu besprechen
• Die Vertraulichkeit von Details zu entdeckten Schwachstellen gemäss dieser Policy zu gewährleisten
• Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten ermöglicht: Den Zugriff limitieren auf das absolute Minimum für die Demonstration der Schwachstelle, das Testen einzustellen und uns sofort eine Meldung einzureichen
• Nur mit Testkonten zu interagieren, die Ihnen gehören oder für die Sie ausdrückliche Genehmigung vom Kontoinhaber haben
• Keine Forderungen mit der Meldung zu stellen
• Uns eine angemessene Frist (90 Tage ab der ersten Meldung) zur Behebung des Problems zu geben
• Eine allfällige Veröffentlichung von Schwachstellen mit uns zu koordinieren 

Die Mobiliar erlaubt keine der folgenden Arten von Sicherheitstests

Wir ermutigen Sie, uns alle von Ihnen entdeckten Schwachstellen zu melden, folgende Aktivitäten sind im Rahmen dieser Policy aber strikt untersagt:

• Handlungen, die unsere Systeme oder unsere Kunden negativ beeinträchtigen können (z. B. Phishing, Spam, Brute-Force-Angriffe, Denial-of-Service usw.)
• Zerstörung, Beschädigung oder Veränderung von Daten oder Informationen, die Ihnen nicht gehören, oder der Versuch dazu
• Durchführung von physischen oder anderweitigen Angriffen auf unser Personal, Eigentum, Gebäude oder Infrastruktur
• Social Engineering gegenüber unseren Mitarbeitern, Kunden oder Auftragnehmern

Koordinierte Offenlegung von Schwachstellen (CVD)

Wir schätzen die Bemühungen externer Sicherheitsforscher, die Sicherheitslücken identifizieren und verantwortungsbewusst offenlegen, damit sie behoben werden können. Unsere Policy erlaubt die Veröffentlichung, sofern die folgenden Bedingungen erfüllt sind (Coordinated Vulnerability Disclosure):

• Die meldende Person darf die Schwachstelle nicht veröffentlichen, bevor wir bestätigt haben, dass diese Behoben ist und eine Offenlegung von unserer Seite akzeptiert wurde.
• Eine Veröffentlichung wird nach 90 Tagen akzeptiert, sofern eine Koordination mit uns stattgefunden hat.
• Es darf keine Veröffentlichung genauer Details des Problems erfolgen, wie z.B. Exploits oder Proof-of-Concept-Code.

Offizielle Kanäle 

Bitte melden Sie Schwachstellen über https://app.bugbounty.ch/public/engagement/details/470451ae-a71a-4b88-b86e-7d66601b3536 und geben Sie alle relevanten Informationen an. Bitte reichen Sie keine Berichte von automatisierten Tools ein, ohne diese zu überprüfen. Je mehr der folgenden Details Sie bereitstellen, desto einfacher wird es für uns sein, das Problem zu analysieren und zu beheben und Ihren Einsatz zu würdigen:

• Technische Beschreibung der Schwachstelle, einschliesslich:
  • Verwendete Browserinformationen (Typ und Version)
  • Relevante Informationen zu verbundenen Komponenten und Geräten
  • Betroffene Plattform(en) und URL(s)
• Beispielcode zur Demonstration der Schwachstelle und/oder detaillierte Schritte zur Reproduktion
• Bedrohungs-/Risikobewertung
• Datum und Uhrzeit der Entdeckung
• Kontaktinformationen
• Allfällige Pläne für eine Veröffentlichung, falls dies angestrebt wird

Bitte beachten Sie, dass diese Kanäle ausschliesslich zur Meldung von nicht offengelegten Schwachstellen verwendet werden dürfen und nicht für andere Support- oder Informationsanfragen. Anfragen, die keine unveröffentlichten Schwachstellen betreffen, werden nicht beantwortet.

Legal Safe Harbor 

• Wir werden keine zivilrechtlichen Schritte einleiten oder Anzeigen bei Strafverfolgungsbehörden anregen gegen Teilnehmer dieses Programms wegen unbeabsichtigter Verstösse gegen die Policy, sofern diese in gutem Glauben erfolgt sind
• Wir interpretieren Aktivitäten von Teilnehmern, die dieser Policy entsprechen, nicht als unbefugten Zugriff gemäss dem Schweizer Strafgesetzbuch. Dies umfasst die Artikel 143, 143bis und 144bis des Schweizerischen Strafgesetzbuchs
• Wir werden keine Anzeigen gegen Teilnehmer einreichen, die versuchen, eingesetzte Sicherheitsmassnahmen zu umgehen, um die in dieser Policy benannten Dienste zu schützen
• Wenn rechtliche Schritte von einer Drittpartei gegen einen Teilnehmer eingeleitet werden sollten und der Teilnehmer gemäss dieser Policy gehandelt hat, werden wir die erforderlichen Schritte unternehmen, um die Behörden darauf hinzuweisen, dass die Handlungen dieses Teilnehmers in Übereinstimmung mit dieser Policy stattgefunden haben.
• Bei geringfügigen Verstössen kann eine Warnung ausgesprochen werden. Bei schwerwiegenden Verstössen behalten wir uns das Recht vor, strafrechtliche Anzeige zu erheben.

Sie sind wie immer verpflichtet, alle geltenden Gesetze einzuhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Tests und Aktivitäten mit dieser Policy übereinstimmen, reichen Sie bitte eine Meldung über einen unserer offiziellen Kanäle ein, bevor Sie Ihre Aktivitäten fortsetzen.

Beachten Sie, dass der Legal Safe Harbor nur für rechtliche Ansprüche gilt, die unter der Kontrolle der Schweizerischen Mobiliar Versicherungsgesellschaft AG, der Schweizerischen Mobiliar Lebensversicherungs-Gesellschaft AG, der Schweizerischen Mobiliar Services AG, der Schweizerischen Mobiliar Asset Management AG, der Protekta Rechtsschutz-Versicherung AG, der Schweizerischen Mobiliar Risk Engineering AG, der Mobi24 AG und der XpertCenter AG stehen, und dass die Policy unabhängige Dritte nicht bindet.

Diese Policy unterliegt dem schweizerischen Recht. Der ausschliessliche Gerichtsstand für alle Streitigkeiten, die aus oder im Zusammenhang mit dieser Policy entstehen, ist Bern, Schweiz. Zwingende Gerichtsstände bleiben vorbehalten.

Schwachstellen melden