Meldung von Schwachstellen

gemäß Cyber Resilience Act (CRA) Verordnung (EU) 2024/2847, Artikel 14 Absatz 4

1. Product Security Incident Response Team (PSIRT)

Die ACR Brändli + Vögeli AG verpflichtet sich zur Aufrechterhaltung der Sicherheit ihrer Produkte und Dienstleistungen.

Wir begrüßen Meldungen von Kunden, Geschäftspartnern, Distributoren, Systemintegratoren sowie anderen Dritten, die potenzielle Sicherheitslücken in Produkten der Marke AXTON identifizieren.

 

2. Meldung einer Schwachstelle

Wenn Sie der Ansicht sind, eine Cybersicherheits-Schwachstelle in einem unserer Produkte entdeckt zu haben, melden Sie diese bitte an unser Product Security Incident Response Team (PSIRT).

E-Mail: security@axton.de

Verwenden Sie diesen Kontakt nicht für:

  • Produkt-Supportanfragen
  • Garantie- oder Gewährleistungsansprüche
  • Vertriebsanfragen
  • Allgemeine technische Supportanfragen

Hinweis: Anfragen zu den oben genannten Themen werden nicht bearbeitet und bleiben unbeantwortet.

 

3. Erforderliche Informationen

Eine Meldung einer vermuteten Schwachstelle sollte folgende Informationen enthalten:

  • Marke
  • Modell
  • Hardware-Revision (falls bekannt)
  • Software- bzw. Firmware-Version
  • Detaillierte Beschreibung der Schwachstelle
  • Schritte zur Reproduktion
  • Proof-of-Concept-Material
  • Potenzielle Auswirkungen
  • Ihre Kontaktdaten

 

4. Richtlinie zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure – CVD)

ACR unterstützt die koordinierte Offenlegung von Schwachstellen (CVD).

Wir bitten jedoch ausdrücklich darum, Schwachstellen vertraulich zu melden und nicht öffentlich offenzulegen, bevor Gegenmaßnahmen umgesetzt wurden oder die Offenlegung gemeinsam mit ACR abgestimmt wurde.

4.1 SafeHarbor-Klausel

ACR wird keine rechtlichen Schritte gegen Sicherheitsforscher einleiten, die:

  • nach Treu und Glauben handeln,
  • Datenschutzverletzungen vermeiden,
  • Schwachstellen nicht über das zur Demonstration ihrer Existenz erforderliche Maß hinaus ausnutzen,
  • und diese Offenlegungsrichtlinie einhalten.

Womit Aktivitäten die im Einklang mit der Safe-Harbor Klausel durchgeführt werden, als autorisiert gelten.

 

5. Reaktionsverpflichtungen

Unser Ziel ist es:

  • den Eingang einer Meldung innerhalb von 7 Kalendertagen zu bestätigen,
  • innerhalb von 30 Kalendertagen eine erste Bewertung durchzuführen,
  • Maßnahmen zur Behebung risikobasiert entsprechend der Auswirkung und Kritikalität festzulegen.

Hinweis: Die genannten Fristen stellen Zielwerte dar und begründen keinen Rechtsanspruch.

 

6. Behandlung der Schwachstellen-Schweregrade

Gemeldete Schwachstellen werden anhand des CVSS-Standards sowie interner Risikobewertungskriterien bewertet.

Schweregrad-Kategorien:

  • Kritisch
  • Hoch
  • Mittel
  • Niedrig

 

7. Sicherheitsrelevante Software-Updates

Sicherheitsrelevante Software- und Firmware-Updates werden auf den jeweiligen produkt- oder markenspezifischen Supportseiten bereitgestellt. Bitte prüfen Sie regelmäßig die entsprechende Update-Seite Ihres Produkts.

 

8. Richtlinie für Sicherheitsupdates

Die jeweiligen Supportzeiträume werden in der Produktdokumentation kommuniziert und können je nach Produktart und Absatzmenge deutlich variieren.

Sicherheitsupdates werden für unterstützte Produkte während des deklarierten Supportzeitraums bereitgestellt.

 

9. security.txt

0
    0
    Ihr Warenkorb
    Ihr Warenkorb ist leerZurück zum Shop