DrAnsay - Bug Bounty

Security

DE:

Meldung von Sicherheitslücken: Dr. Ansay Bug-Bounty-Programm

Dr. Ansay nutzt eine Vielzahl digitaler Dienste, um Kundinnen und Kunden sichere und komfortable Lösungen bereitzustellen. Die Sicherheit von Daten und Prozessen hat dabei höchste Priorität. Trotz größter Sorgfalt können diese digitalen Dienste jedoch Schwachstellen enthalten, die Dr. Ansay bislang nicht bekannt sind. Daher sind wir für verantwortungsvolle Hinweise auf Sicherheitsprobleme sehr dankbar.

Bitte beachten Sie: Das aktive Suchen nach Sicherheitslücken kann unter bestimmten Umständen strafbar sein. Halten Sie sich daher strikt an die nachfolgenden Regeln. Wenn Sie diese Regeln einhalten und in gutem Glauben handeln, betrachtet Dr. Ansay Ihre Sicherheitstests als autorisiert und wird keine rechtlichen Schritte gegen Sie einleiten.

1. Was ist das Dr. Ansay Bug-Bounty-Programm?

Bug-Bounty-Programme sind ein wichtiges Instrument zur Verbesserung der Sicherheit digitaler Dienste, da sie eine Community aus ethischen Hackerinnen und Hackern bzw. Sicherheitsforschenden fördern, die Schwachstellen verantwortungsvoll melden, bevor diese missbraucht werden können.

Das Dr. Ansay Bug-Bounty-Programm ist eine Initiative der Informationssicherheitsfunktion der Dr. Ansay Group zur Honorierung von Personen, die Sicherheitslücken oder Schwachstellen in digitalen Diensten von Dr. Ansay verantwortungsvoll entdecken und melden. Die Höhe der Vergütung („Bounty“) richtet sich nach Art und Schwere der gemeldeten Schwachstelle.

Teilnehmen kann jede Person, die die hier beschriebenen Regeln einhält.

Diese Richtlinie dient zugleich als Vulnerability Disclosure Policy (VDP) von Dr. Ansay und gilt unabhängig davon, ob eine gemeldete Schwachstelle für eine Vergütung qualifiziert.

2. Welche digitalen Dienste sind umfasst?

Das Bug-Bounty-Programm gilt für alle internetzugänglichen digitalen Dienste von Dr. Ansay, insbesondere die Hauptdomain sowie weitere Domains, Subdomains, Webanwendungen und APIs. Aufgrund der dynamischen Struktur des Portfolios wird keine abschließende Liste veröffentlicht.

Einige mit Dr. Ansay verbundene Domains können auf Dienste Dritter weiterleiten, die nicht von Dr. Ansay betrieben werden. In diesen Fällen gilt das Bug-Bounty-Programm ausschließlich für Dienste, bei denen Dr. Ansay im Impressum als verantwortliches Unternehmen genannt ist. Sicherheitstests an Systemen Dritter können unzulässig sein und strafrechtlich verfolgt werden.

3. Welche Regeln gelten?

Grundsatz: Aktivitäten im Rahmen des Bug-Bounty-Programms dürfen Dr. Ansay keinen Schaden zufügen.

Insbesondere bedeutet dies:

Verfügbarkeit, Vertraulichkeit, Authentizität und Integrität von Daten und Systemen dürfen nicht beeinträchtigt werden.
DDoS-Angriffe, Brute-Force-Versuche, Phishing-Kampagnen oder andere betriebsstörende Angriffe sind untersagt.
Produktionsdaten dürfen weder verändert noch gelöscht werden.
Es dürfen keine Backdoors oder vergleichbare Mechanismen eingerichtet werden, die einen dauerhaften oder erweiterten Zugriff ermöglichen.
Entdeckte Schwachstellen dürfen nicht veröffentlicht werden, bevor Dr. Ansay diese geprüft und behoben hat.

Sollten bei Sicherheitstests unbeabsichtigt personenbezogene oder gesundheitsbezogene Daten sichtbar werden, sind die Tests unverzüglich abzubrechen. Solche Daten dürfen nicht gespeichert, weitergegeben, verändert oder über das zur Identifikation der Schwachstelle zwingend erforderliche Maß hinaus eingesehen werden und sind umgehend an Dr. Ansay zu melden.

Darüber hinaus gilt:

Nur der erste klar reproduzierbare Bericht ist bounty-fähig.
Aktuelle und ehemalige Mitarbeitende sowie beauftragte Dienstleister und Lieferanten sind ausgeschlossen.
Die Bewertung und Vergütung erfolgt durch das Informationssicherheitsteam.
Eine ordnungsgemäße Rechnung (inkl. USt., falls anwendbar) ist Voraussetzung für Zahlungen.
Auszahlungen erfolgen per Banküberweisung; PayPal oder Kryptowährungen sind ausgeschlossen.

4. Wie melden Sie eine Schwachstelle?

Bitte übermitteln Sie mindestens folgende Informationen:

Betroffene Domain, URL, IP-Adresse oder Anwendung
Eine möglichst detaillierte Beschreibung zur Reproduzierbarkeit (Schritte, Requests/Responses, Screenshots, Proof-of-Concept etc.)

Meldungen senden Sie bitte an:

[email protected]

Dr. Ansay bemüht sich, den Eingang von Meldungen zeitnah zu bestätigen und - sofern sinnvoll - während der Behebung mit der meldenden Person zu kommunizieren.

5. Was passiert nach der Meldung?

Die Meldung wird geprüft, bewertet und einer Kritikalitätsstufe zugeordnet. Maßgeblich ist das Risiko für Systeme, Daten und Nutzerinnen und Nutzer. Als Orientierung dienen CVSS sowie die Kritikalität der betroffenen Systeme und Daten.

Die Risikostufe ist mit folgenden Vergütungsrahmen verknüpft:

Niedrig: bis 200 €
Mittel: 201 – 1.000 €
Hoch: 1.001 – 4.000 €
Kritisch: 5.000 €

Die konkrete Höhe der Vergütung wird im Einzelfall durch das Informationssicherheitsteam oder den zuständigen Chief Information Security Officer von Dr. Ansay festgelegt. Schwachstellen, die einen unbefugten Zugriff auf vertrauliche Daten oder deren Veränderung oder Löschung ermöglichen, werden besonders hoch bewertet. Zur Orientierung hinsichtlich relevanter Klassen von Sicherheitslücken dient unter anderem das Projekt OWASP Top Ten.

Nicht vergütungsfähig sind insbesondere:

Reine Verfügbarkeitsprobleme (z. B. allgemeine Nichterreichbarkeit eines Dienstes).
Phishing-E-Mails, die lediglich Marken oder Namen missbrauchen.
Feststellungen ohne nachvollziehbaren Nachweis der tatsächlichen Ausnutzbarkeit.
Automatisierte Scanner-Reports ohne konkreten und technisch überprüfbaren Bezug zu einer realen Schwachstelle.
Allgemeine Fehlermeldungen, rein informative Hinweise, Banner-Leaks oder Konfigurationsdetails ohne sicherheitsrelevante Auswirkung.
Probleme, die ausschließlich in veralteten oder nicht mehr unterstützten Browsern auftreten.
Bekannte Schwachstellen in Drittanbieter-Bibliotheken ohne Nachweis, dass diese in der konkreten Umgebung tatsächlich ausnutzbar sind.

Dr. Ansay behält sich das Recht vor, einzelne Meldungen abzulehnen, Vergütungsrahmen anzupassen oder das Bug-Bounty-Programm jederzeit zu ändern oder einzustellen.

EN:

Reporting vulnerabilities: Dr. Ansay Bug Bounty Program

Dr. Ansay uses a wide range of digital services to provide customers with secure and convenient solutions. The security of data and processes has top priority. Nevertheless, despite great care, these digital services may contain vulnerabilities that are not yet known to Dr. Ansay. For this reason, we are very grateful for responsible reports of security issues.

Please note: Actively searching for security vulnerabilities can, under certain circumstances, constitute a criminal offense. Therefore, strictly adhere to the rules set out below. If you comply with the rules described in this policy and act in good faith, Dr. Ansay considers your security testing to be authorized and will not initiate legal action against you.

1. What is the Dr. Ansay Bug Bounty Program?

“Bug bounty programs” are an important instrument for improving the security of digital services because they promote a community of ethical hackers or security researchers who disclose potential vulnerabilities before they can be exploited by attackers.

The Dr. Ansay Bug Bounty Program is an initiative of the information security function of the Dr. Ansay Group to reward individuals who responsibly discover and report bugs, security issues or vulnerabilities in the digital services of Dr. Ansay. The amount of the reward (“bounty”) depends on the severity and type of the reported vulnerability.

Anyone who complies with the rules described here can participate in the Bug Bounty Program.

This document also constitutes Dr. Ansay’s Vulnerability Disclosure Policy (VDP) and applies regardless of whether a reported vulnerability qualifies for a bug bounty payment.

2. Which digital services are covered?

The Bug Bounty Program covers all internet-accessible digital services of Dr. Ansay, in particular the main domain and other domains, subdomains, web applications and APIs of Dr. Ansay. A complete list is not provided due to the dynamic nature of the portfolio.

Some domains associated with Dr. Ansay may redirect to digital services operated by third parties which are not run by Dr. Ansay. In such cases, the Bug Bounty Program only applies to those digital services where Dr. Ansay is named as the responsible company in the legal notice (imprint). Security testing of systems not operated by Dr. Ansay may be unlawful and may be prosecuted accordingly.

3. What rules apply to the program?

Basic principle: Activities carried out as part of the Bug Bounty Program must not cause any damage to Dr. Ansay.

The availability, confidentiality, authenticity and integrity of data and systems must not be impaired.
Do not perform DDoS attacks, brute-force attempts, phishing campaigns or other attacks that could disrupt operations.
Do not modify or delete production data.
No backdoors or similar mechanisms may be installed that provide permanent or extended access.
Discovered vulnerabilities must not be published until Dr. Ansay has reviewed and remedied the issue.

If security testing inadvertently exposes personal data or health-related data, testing must be stopped immediately. Such data must not be accessed beyond what is strictly necessary for identification of the vulnerability, must not be stored, altered, or shared, and must be reported to Dr. Ansay without delay.

In addition, the following applies:

Only the first, clearly reproducible report of a vulnerability qualifies for a potential bug bounty payout.
Current and former employees of Dr. Ansay, as well as contracted service providers and suppliers, are excluded from participating in the Bug Bounty Program.
The information security team of Dr. Ansay evaluates each report and determines the payout amount within the defined reward range.
A valid invoice that meets applicable VAT requirements is a prerequisite for any payment.
Payments are generally made via bank transfer; alternative payment methods such as PayPal or cryptocurrencies are excluded.

4. How to report a vulnerability

When submitting a report, please provide at least the following information:

Exact domain, URL, IP address or affected application in which you found the vulnerability
A description that is as detailed as possible to reproduce the issue (step-by-step instructions, requests/responses, screenshots, proof-of-concept, tools used, etc.)

Please send all relevant information to the following email address:

[email protected]

Dr. Ansay aims to acknowledge receipt of vulnerability reports within a reasonable time frame and to maintain communication with the reporting party throughout the remediation process, where appropriate.

5. What happens after your report?

Your report will be verified and assessed by the security officers at Dr. Ansay and assigned a criticality level. The key factor is the risk posed to systems, data and users. As a guideline, the Common Vulnerability Scoring System (CVSS) is used in combination with the classification of the affected systems and data.

The determined risk level is linked to a reward range, for example:

Low: up to €200
Medium: €201 – €1.000
High: €1.001 – €4.000
Critical: €5.000

The exact amount of the reward is determined in each individual case by the information security team or the responsible Chief Information Security Officer of Dr. Ansay. Vulnerabilities that allow unauthorized access to confidential data or their modification or deletion are particularly valuable. For guidance on relevant classes of security issues, see for example the OWASP Top Ten project.

Not eligible for rewards are, for example:

Pure availability issues
Phishing emails misusing brands or names
Findings without substantiated exploitability
Automated scanner reports without verified impact
Informational findings without security relevance
Issues limited to outdated or unsupported browsers
Known third-party vulnerabilities without proven exploitability in the specific environment

Dr. Ansay reserves the right to reject individual reports, adjust reward ranges, or change or discontinue the Bug Bounty Program at any time.