Richtlinie zur verantwortungsvollen Offenlegung
Bei Sprout Social nehmen wir die Sicherheit der Daten unserer Nutzer sehr ernst. Wenn Sie potenzielle Sicherheitsschwachstellen in einem Service von Sprout Social entdeckt haben, möchten wir Sie bitten, uns auf diese in verantwortungsbewusster Weise hinzuweisen. In dieser Richtlinie zur verantwortungsbewussten Offenlegung werden die Schritte zur Meldung von Schwachstellen beschrieben, was Sie erwartet und was Sie von uns erwarten können.
Unsere Verpflichtung Ihnen gegenüber
Allen Personen, die vermutete Schwachstellen in Übereinstimmung mit dieser Richtlinie zur verantwortungsbewussten Offenlegung melden, gibt Sprout Social folgende Zusage:
Ihnen gegenüber Vertraulichkeit zu wahren
den Eingang Ihrer Meldung zeitnah zu bestätigen
Die Richtigkeit der Meldung zu prüfen und den Schweregrad und die Auswirkungen zu bewerten
Sie zu benachrichtigen, sobald die Sicherheitslücke behoben ist
Ihre verantwortungsvolle Offenlegung auf Ihren Wunsch öffentlich anzuerkennen.
Geltungsbereich, Richtlinien und Ausschlüsse
Sprout Social arbeitet mit Bugcrowd für unser Vulnerability Disclosure Program („VDP“) zusammen. Die Assets im Geltungsbereich finden Sie im Abschnitt Geltungsbereich auf der Bugcrowd VDP-Seite von Sprout Social.
Sie dürfen nur mit einem Konto auf Schwachstellen testen, dessen Kontoinhaber Sie sind oder ein vom Kontoinhaber autorisierter Vertreter, der solche Tests durchführt.
Alle Tests müssen in Übereinstimmung mit dieser Richtlinie zur verantwortungsvollen Offenlegung, den Nutzungsbedingungen von Sprout Social, den Standardbedingungen für die Offenlegung von Bugcrowd und allen geltenden Gesetzen durchgeführt werden.
Sprout Social untersagt die folgenden Arten von Untersuchungen und Tests:
Vorsätzlicher Zugriff auf Daten, oder der Versuch eines Zugriffs auf Daten, die Ihnen nicht gehören
Die Ausführung oder der Versuch einer Ausführung eines Denial-of-Service-Angriffs (DoS/DDoS) oder Stresstests der Anwendung, Systeme oder Netzwerke
Versendung oder versuchte Versendung von unerwünschten oder unbefugten E-Mails, Spam oder anderen Arten unerwünschter Mitteilungen
Durchführung von Untersuchungen durch Social Engineering oder andere betrügerische Methoden (z. B. Phishing, Vishing, Smishing, Link-Manipulation)
Testen von Websites, Anwendungen oder Diensten Dritter, die mit Sprout Social™ integriert sind
Wissentliches Veröffentlichen, Übertragen, Hochladen, Verknüpfen, Senden oder Speichern von Malware, Viren oder ähnlichen Schadprogramme
Durchführung jeder Form von Sicherheitstests oder Audits an physischen Standorten, einschließlich, aber nicht beschränkt auf Büros, Rechenzentren und Einrichtungen von Sprout Social
Forschung, die von Minderjährigen, Personen auf Sanktionslisten oder Personen aus Staaten auf Sanktionslisten ausgeführt wird
Alle Aktivitäten, die durch die Nutzungsbedingungen für Offenlegung von Bugcrowd untersagt sind
Sicherer Hafen
Sprout Social behält sich im Falle der Nichteinhaltung dieser Richtlinie zur verantwortungsvollen Offenlegung alle Rechte vor, beabsichtigt jedoch nicht, rechtliche Schritte gegen Parteien einzuleiten, die Sicherheitsuntersuchungen durchführen und Informationen in gutem Glauben an uns weitergeben, wie in dieser Richtlinie dokumentiert.
Übermittlung Ihres Berichts zu Schwachstellen
Bitte melden Sie alle vermuteten Schwachstellen über unser Bugcrowd VDP unter https://bugcrowd.com/sproutsocial.
Vermutete Schwachstellen, die auf andere Weise gemeldet werden, wie per E-Mail, Social Media oder eine andere Bug Bounty-Plattform als Bugcrowd, werden nicht akzeptiert.
Geben Sie bei der Meldung vermuteter Sicherheitslücken ausreichende Informationen an, damit wir Ihre Schritte reproduzieren können.
Zum Schutz der Privatsphäre und Sicherheit unserer Benutzer:
Bitte veröffentlichen Sie ohne ausdrückliche schriftliche Zustimmung von Sprout Social keine Details über vermutete Schwachstellen, die Sie möglicherweise identifiziert haben.
Bitte löschen/vernichten Sie unmittelbar nach der Übermittlung Ihres Berichts alle lokalen oder zwischengespeicherten Kopien von Daten, auf die Sie während Ihrer Tests zugegriffen oder die Sie erhalten haben.
Belohnungen/Vergütung
Sie können für eine Belohnung in Frage kommen, wenn Sie die erste Person sind, die eine bestimmte Schwachstelle übermittelt, die Schwachstelle vom Sicherheitsteam von Sprout Social validiert wird und Sie alle darin angegebenen Bedingungen, Regeln und Einschränkungen eingehalten haben. Die Verfügbarkeit von Belohnungen oder einer Vergütung liegt im alleinigen Ermessen von Sprout Social und wird ausschließlich über die Bugcrowd-Plattform verteilt. Sprout Social übernimmt keine Garantie, weder ausdrücklich noch stillschweigend, dass Belohnungen oder Vergütungen angeboten werden. Weitere Informationen finden Sie auf unserer Bugcrowd-Seite unter: https://bugcrowd.com/sproutsocial