Richtlinie zur Offenlegung von Sicherheitslücken
TAP begrüßt die verantwortungsvolle Offenlegung von Sicherheitslücken. Diese Richtlinie beschreibt die dafür geltenden Regeln und wie Sie uns einen Bericht übermitteln können. Bitte beachten Sie, dass TAP diese Richtlinie von Zeit zu Zeit ändern kann.
Sie als Sicherheitsforscher, der zur Entdeckung von Sicherheitslücken in unseren Anwendungen beitragen möchte, sollten diese Richtlinie lesen, bevor Sie sich an solchen Aktivitäten beteiligen, und die hierin beschriebenen Regeln befolgen.
- TAP bietet keine finanzielle Vergütung für die Meldung von Sicherheitslücken.
- TAP kann der Nennung als Referenz unter den in den Veröffentlichungsregeln genannten Bedingungen zustimmen.
- Wir bitten Sie, die Sicherheitslücke nicht offenzulegen, bevor TAP ihre Behebung bestätigt.
- Wir bitten Sie, unsere schriftliche Zustimmung zur Offenlegung einzuholen.
- Wir bitten Sie, vertrauliche Informationen in der Offenlegung wegzulassen oder zu schwärzen.
- Die folgenden Domänen: www.flytap.com, booking.flytap.com, myb.flytap.com, store.flytap.com, bidmiles-and-go.flytap.com, www.tapcorporate.com, corporatebooking.flytap.com, www.tapairportugal.com, www.tapme.pt, www.tapcargo.com, www.cartaocreditomilesandgo.flytap.com, cartoesdecredito.flytap.com.
- TAP Air Portugal mobile App (iOS und Android).
- Jede Domäne, die nicht ausdrücklich in den Geltungsbereich fällt.
- Jede andere Anwendung, ob Mobil-, Web- oder sonstige Anwendung, die nicht in den Geltungsbereich fällt.
- Sicherheitslücken in integrierten Diensten, die anderen Unternehmen gehören.
- Automatisierte Scans.
- Leistungs- oder Stresstests und störende Angriffe, einschließlich Denial-of-Service-Tests (DoS oder DDoS).
- Angriffe auf Mitarbeiter oder Nutzer von TAP, einschließlich Social Engineering, Erpressung, Spamming oder Phishing.
- Gefährdung der physischen Sicherheit.
- Einführung von Hintertüren oder eines dauerhaften Zugangs.
- Einführung von Änderungen an Systemen oder Anwendungen.
- Ändern oder Löschen von Daten in Systemen oder Anwendungen.
- Ausgabe automatisierter Scans.
- Bewährte Sicherheitspraktiken, wie z. B. Sicherheits-Header, Cookie-Flags.
- Unsichere SSL/TLS-Versionen oder -Chiffren.
- SPF-, DKIM- und DMARC-Probleme.
- Sicherheitslücken mit minimalen Auswirkungen.
- Eine bereits gemeldete oder von TAP selbst entdeckte Sicherheitslücke.
- Handeln Sie in gutem Glauben und halten Sie sich an geltendes Recht.
- Verletzen Sie nicht den Datenschutz, die Datenintegrität oder Datenverfügbarkeit.
- Extrahieren Sie keine Daten.
- Melden Sie jede entdeckte Sicherheitslücke umgehend ausschließlich an TAP.
- Führen Sie die Testaktivitäten nur in dem Umfang durch, der zur Bestätigung der Sicherheitslücke erforderlich ist. Hören Sie auf, sobald Sie ihre Existenz beweisen können.
- Wenn Sie nicht sicher sind, dass die Testaktivitäten keine Schäden für TAP verursachen, brechen Sie Ihre Tests ab und kontaktieren Sie uns.
- Stellen Sie uns ausreichende Details zur Verfügung, um die Sicherheitslücke zu reproduzieren.
- Geben Sie uns eine angemessene Zeit, um die Sicherheitslücke zu analysieren, zu reproduzieren und zu beheben.
- Stellen Sie uns den Bericht auf Englisch oder Portugiesisch zur Verfügung.
- Senden Sie uns eine E-Mail an diese E-Mail-Adresse: [email protected].
- Wir empfehlen Ihnen dringend, den Bericht mit unserem öffentlichen PGP-Schlüssel [hier veröffentlicht] zu verschlüsseln.
- Rechtzeitige Antwort und Bestätigung des Empfangs Ihres Berichts.
- Mit Ihnen zusammenzuarbeiten, um Ihre Ergebnisse zu verstehen und zu validieren sowie Probleme zu besprechen.
- Maßnahmen zur zeitnahen Behebung der entdeckten Schwachstellen zu entwickeln.
- Sie zu benachrichtigen, wenn die Sicherheitslücke behoben wurde.
TAP verwendet Ihre personenbezogenen Daten nur, um Sie im Rahmen Ihrer Sicherheitslückenmeldung zu kontaktieren.
Bei Bedarf können wir Ihre personenbezogenen Daten allerdings an unsere Business-Partner weitergeben, jedoch stets in Übereinstimmung mit den geltenden Rechtsvorschriften für personenbezogene Daten.
Wir werden Ihre personenbezogenen Daten nach Abschluss des Vorgangs nicht länger als 1 Jahr aufbewahren.
Bei Bedarf können wir Ihre personenbezogenen Daten allerdings an unsere Business-Partner weitergeben, jedoch stets in Übereinstimmung mit den geltenden Rechtsvorschriften für personenbezogene Daten.
Wir werden Ihre personenbezogenen Daten nach Abschluss des Vorgangs nicht länger als 1 Jahr aufbewahren.