Swiss Life freut sich über Rückmeldungen von Sicherheitsforschern und der breiten Öffentlichkeit, um zur Verbesserung unserer Sicherheit beizutragen. Wenn Sie glauben, dass Sie eine Schwachstelle, ein Datenschutzproblem, offengelegte Daten oder andere Sicherheitsprobleme in einem unserer Systeme entdeckt haben, möchten wir gerne von Ihnen hören. Vorfälle melden Sie bitte über das untenstehende Formular. Diese Richtlinie beschreibt die Schritte zum Melden von Schwachstellen an uns, was wir erwarten und was Sie von uns erwarten können.
Geltungsbereich
Diese Richtlinie gilt für alle digitalen Assets, die Swiss Life besitzt, betreibt oder pflegt. Der Fokus liegt auf den Webportalen der Swisslife in der Schweiz. Zu nennen sind hier folgende Domänen: swisslife.ch, swisslife.com und swisslife-select.ch. Weitere Hinweise sind willkommen.
Unsere Verpflichtung
Wenn Sie mit uns gemäss dieser Richtlinie zusammenarbeiten, können Sie Folgendes von uns erwarten:
- Wir reagieren umgehend auf Ihre Meldung.
- Wir ergreifen schnellstmöglich Massnahmen, um die Sicherheitslücke zu schliessen.
- Wir bemühen uns Sie über den Fortschritt zu informieren.
- Wir behandeln Ihren Report und Ihre personenbezogenen Daten streng vertraulich.
- Wir werden ihren Zugang zu unseren Webportalen nicht einschränken.
- Wir halten uns an unsere Vulnerability Disclosure Policy.
Unsere Erwartungen
Wenn Sie mit guten Absichten uns helfen möchten, Schwachstellen offen zu legen, bitten wir Sie:
- Halten Sie sich an die Regeln, einschliesslich der Einhaltung dieser Richtlinie und aller anderen relevanten Vereinbarungen. Bei Widersprüchen zwischen dieser Richtlinie und anderen anwendbaren Bedingungen haben die Bedingungen dieser Richtlinie Vorrang.
- Vermeiden Sie es, die Privatsphäre anderer zu verletzen (z.B. kein Social Engineering, Phishing, Spam).
- Vermeiden Sie es unsere Systeme zu stören und/oder die Benutzererfahrung zu beeinträchtigen (z.B. Kein DDoS).
- Sie dürfen keine Daten ausspähen, verändern, herunterladen, löschen oder weitergeben.
- Verwenden Sie nur die offiziellen Kanäle, um Informationen zu Schwachstellen mit uns zu besprechen.
- Geben Sie uns eine angemessene Zeit (mindestens 90 Tage ab der ersten Meldung), um das Problem zu lösen, bevor Sie es öffentlich machen.
- Führen Sie Tests nur auf innerhalb des Geltungsbereichs (siehe oben) liegenden Systemen durch und respektieren Sie Systeme und Aktivitäten, die ausserhalb des Geltungsbereichs liegen.
- Stellen Sie das Testen unverzüglich ein und reichen einen Bericht ein, wenn Sie auf Personendaten im Sinne des Schweizerischen Datenschutzgesetzes (DSG) stossen.
- Nutzen Sie nur Zugangsdaten, die Ihnen gehören oder mit ausdrücklicher Genehmigung des Kontoinhabers.
Inhalt Ihrer Meldung
Ein Bericht den Sie uns einsenden sollte folgendes enthalten:
- Typ der Schwachstelle
- Beschreibung der Schwachstelle (inkl. verwendeten Browser und ggf. Browsereinstellungen)
- Beispiel (eindeutiger Request oder PoC Code)
- Hinreichend Informationen, damit das Problem reproduzierbar und analysierbar ist
- Am besten Schritt für Schritt Anleitung
- Screenshots sind willkommen
- Aufzeigen einer Lösungsmöglichkeit ist willkommen
- Kontaktmöglichkeit für Rückfragen ist willkommen
Das soll z.B. gemeldet werden:
- Cross scripting (XSS) vulnerabilities
- SQL injection vulnerabilities
- Encryption vulnerabilities
- Cross Site Request Forgery (CSRF)
- Insecure Direct Object Reference
- Remote Code Execution (RCE) – Injection Flaws
- Möglichkeit der Exfiltration von Daten / Informationen
- Aktiv ausnutzbare Hintertüren (Backdoors)
- Möglichkeit einer unautorisierten System-Nutzung
Das soll z.B. nicht gemeldet werden:
- Berichte von automatisierten Tools oder Scans ohne erklärende Dokumentation
- Meldungen zu Fehlen eines Sicherheitsfeatures ohne Ausnutzbarkeit
- Preisgeben nicht-sensitiver Informationen
Vulnerability Disclosure Policy
Bei der Durchführung von Schwachstellenforschung gemäss dieser Richtlinie betrachten wir diese Forschung, die im Rahmen dieser Richtlinie durchgeführt wird, als:
- Autorisiert in Bezug auf geltende Anti-Hacking-Gesetze und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstösse gegen diese Gesetze einleiten oder unterstützen.
- Autorisiert in Bezug auf relevante Antiumgehungsgesetze und wir werden keine Ansprüche wegen Umgehung von Technologiekontrollen gegen Sie geltend machen.
- Ausgenommen von Einschränkungen in unseren Nutzungsbedingungen, die die Durchführung von Sicherheitsforschung beeinträchtigen würden und wir verzichten auf diese Einschränkungen in begrenztem Umfang.
- Rechtmässig, hilfreich für die Gesamtsicherheit des Internets und in gutem Glauben durchgeführt.
Wie immer wird von Ihnen erwartet, dass Sie alle geltenden Gesetze einhalten. Wenn von einem Dritten rechtliche Schritte gegen Sie eingeleitet werden und Sie sich an diese Richtlinie gehalten haben, werden wir Schritte unternehmen, um bekannt zu machen, dass Ihre Handlungen in Übereinstimmung mit dieser Richtlinie durchgeführt wurden. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte einen Bericht über einen unserer offiziellen Kanäle ein, bevor Sie fortfahren. Beachten Sie, dass die Vulnerability Disclosure Policy nur für Rechtsansprüche gilt, die unter der Kontrolle der Organisation stehen, die an dieser Richtlinie teilnimmt, und dass die Richtlinie keine unabhängigen Dritten bindet.