Weiter zum Hauptinhalt

Richtlinie zur verantwortungsvollen Offenlegung

Bei Sprout Social nehmen wir die Sicherheit der Daten unserer Nutzer sehr ernst. Wenn Sie potenzielle Sicherheitsschwachstellen in einem Service von Sprout Social entdeckt haben, möchten wir Sie bitten, uns auf diese in verantwortungsbewusster Weise hinzuweisen. In dieser Richtlinie zur verantwortungsbewussten Offenlegung werden die Schritte zur Meldung von Schwachstellen beschrieben, was Sie erwartet und was Sie von uns erwarten können.

Unsere Verpflichtung Ihnen gegenüber

Allen Personen, die vermutete Schwachstellen in Übereinstimmung mit dieser Richtlinie zur verantwortungsbewussten Offenlegung melden, gibt Sprout Social folgende Zusage:

  • Ihnen gegenüber Vertraulichkeit zu wahren

  • den Eingang Ihrer Meldung zeitnah zu bestätigen

  • Die Richtigkeit der Meldung zu prüfen und den Schweregrad und die Auswirkungen zu bewerten

  • Sie zu benachrichtigen, sobald die Sicherheitslücke behoben ist

  • Ihre verantwortungsvolle Offenlegung auf Ihren Wunsch öffentlich anzuerkennen.

Geltungsbereich, Richtlinien und Ausschlüsse

Sprout Social partners with Bugcrowd for our Vulnerability Disclosure Program (“VDP”). The assets in scope can be found under the Scope section of Sprout Social’s Bugcrowd VDP page.

Sie dürfen nur mit einem Konto auf Schwachstellen testen, dessen Kontoinhaber Sie sind oder ein vom Kontoinhaber autorisierter Vertreter, der solche Tests durchführt.

All testing must be conducted in compliance with this Responsible Disclosure Policy, Sprout Social’s Terms of Service Bugcrowd’s Standard Disclosure Terms, and all applicable laws.

Sprout Social untersagt die folgenden Arten von Untersuchungen und Tests:

  • Vorsätzlicher Zugriff auf Daten, oder der Versuch eines Zugriffs auf Daten, die Ihnen nicht gehören

  • Die Ausführung oder der Versuch einer Ausführung eines Denial-of-Service-Angriffs (DoS/DDoS) oder Stresstests der Anwendung, Systeme oder Netzwerke

  • Versendung oder versuchte Versendung von unerwünschten oder unbefugten E-Mails, Spam oder anderen Arten unerwünschter Mitteilungen

  • Durchführung von Untersuchungen durch Social Engineering oder andere betrügerische Methoden (z. B. Phishing, Vishing, Smishing, Link-Manipulation)

  • Testen von Websites, Anwendungen oder Diensten Dritter, die mit Sprout Social™ integriert sind

  • Wissentliches Veröffentlichen, Übertragen, Hochladen, Verknüpfen, Senden oder Speichern von Malware, Viren oder ähnlichen Schadprogramme

  • Durchführung jeder Form von Sicherheitstests oder Audits an physischen Standorten, einschließlich, aber nicht beschränkt auf Büros, Rechenzentren und Einrichtungen von Sprout Social

  • Forschung, die von Minderjährigen, Personen auf Sanktionslisten oder Personen aus Staaten auf Sanktionslisten ausgeführt wird

  • Any activities prohibited by Bugcrowd’s Standard Disclosure Terms

Sicherer Hafen

Sprout Social behält sich im Falle der Nichteinhaltung dieser Richtlinie zur verantwortungsvollen Offenlegung alle Rechte vor, beabsichtigt jedoch nicht, rechtliche Schritte gegen Parteien einzuleiten, die Sicherheitsuntersuchungen durchführen und Informationen in gutem Glauben an uns weitergeben, wie in dieser Richtlinie dokumentiert.

Übermittlung Ihres Berichts zu Schwachstellen

Please submit all suspected vulnerabilities through our Bugcrowd VDP at https://bugcrowd.com/sproutsocial.

Vermutete Schwachstellen, die auf andere Weise gemeldet werden, wie per E-Mail, Social Media oder eine andere Bug Bounty-Plattform als Bugcrowd, werden nicht akzeptiert.

Geben Sie bei der Meldung vermuteter Sicherheitslücken ausreichende Informationen an, damit wir Ihre Schritte reproduzieren können.

Zum Schutz der Privatsphäre und Sicherheit unserer Benutzer:

  • Bitte veröffentlichen Sie ohne ausdrückliche schriftliche Zustimmung von Sprout Social keine Details über vermutete Schwachstellen, die Sie möglicherweise identifiziert haben.

  • Bitte löschen/vernichten Sie unmittelbar nach der Übermittlung Ihres Berichts alle lokalen oder zwischengespeicherten Kopien von Daten, auf die Sie während Ihrer Tests zugegriffen oder die Sie erhalten haben.

Belohnungen/Vergütung

You may be eligible for a reward if you are the first person to submit a specific vulnerability, the vulnerability is validated by Sprout Social’s Security Team, and you have complied with all of the terms, rules, and restrictions listed within. The availability of any rewards or compensation is at the sole discretion of Sprout Social and are distributed exclusively through the Bugcrowd platform. Sprout Social makes no guarantee, express or implied, that any rewards or compensation will be offered. For more information, please view our Bugcrowd page at: https://bugcrowd.com/sproutsocial