Verantwortungsvolle Offenlegung

Richtlinie zur verantwortungsvollen Offenlegung / Offenlegung von Sicherheitslücken

Choice Hotels International begrüßt und ermutigt Sicherheitsforscher, uns mögliche Schwachstellen zu melden, die sie an einem uns gehörenden Produkt, System oder Vermögenswert identifiziert haben. In diesem Sinne haben wir eine Richtlinie zur verantwortungsvollen Offenlegung bzw. Richtlinie zur Offenlegung von Sicherheitslücken erlassen. Diese Richtlinie werden wir immer weiter entwickeln und überarbeiten. Bitte prüfen Sie diese Seite regelmäßig auf Aktualisierungen.

Besondere Nachricht an den Kreis der Sicherheitsforscher / Berichterstatter über Sicherheitslücken

Vielen Dank, dass Sie uns auf mögliche Sicherheitslücken hinweisen. Wir schätzen es sehr, wenn Sie sich mit uns in Verbindung setzen, um Sicherheitslücken zu beheben, damit die Auswirkungen und Risiken für unsere Interessengruppen so gering wie möglich gehalten werden. Zur Unterstützung haben wir eine Richtlinie zur verantwortungsvollen Offenlegung / Offenlegung von Sicherheitslücken eingeführt.

Juristische Maßnahmen

Wir werden weder rechtlich noch mit einer Beschwerde bei den Strafverfolgungsbehörden gegen den Finder/Forscher vorgehen, der in gutem Glauben gehandelt hat. Choice Hotels International behält sich jedoch alle Rechtsmittel im Falle der Nichteinhaltung der in den Leitlinien zur gutgläubigen Tätigkeit enthaltenen Vorgaben vor.

Belohnung

Bitte beachten Sie, dass Choice Hotels International zurzeit keine „Fehlerprämie“ anbietet, d. h. wir bieten keine Vergütung, Belohnung oder öffentliche Anerkennung für die Meldung möglicher Sicherheitslücken an.

Leitlinien zur gutgläubigen Tätigkeit

Zur Förderung der Entdeckung und Meldung von Sicherheitslücken ersuchen wir Sie um Folgendes:

• Respekt vor unseren bestehenden Anwendungen; Vermeidung von Verstößen gegen den Datenschutz, von Datenlöschung und von Störungen oder Verschlechterungen unserer Dienstleistungen (einschließlich Dienstleistungsverhinderungen);
• nicht auf unsere Daten bzw. die Daten unserer Interessengruppen zuzugreifen und dieselben nicht zu verändern;
• die umgehende Benachrichtigung, falls Sie auf Daten von Interessengruppen stoßen. keine Anzeige, Änderung, Löschung, Weitergabe, Speicherung, Übermittlung und kein anderweitiges Zugreifen oder Beeinträchtigen der Daten; bitte löschen Sie nach Ihrer Meldung an uns alle lokalen Daten;
• umgehende Einstellung Ihrer Aktivitäten und Meldung an Choice Hotels International, wenn Sie auf personenbezogene Daten stoßen (z. B. Namen, Adressen, E- Mail-Adressen, Nummern von Kundenbindungskonten, eindeutige Kennungen, Kreditkartennummern);
• keine Generierung betrügerischer Finanztransaktionen;
• keine Teilnahme an Aktivitäten, die a) den US-Bundes- und Bundesstaats- bzw. den internationalen Rechtsvorschriften, oder b) den Rechtsvorschriften der Länder zuwiderlaufen, i) in denen Vermögenswerte, Daten oder Systeme lagern, ii) in die Datenverkehr geleitet wird, iii) in denen der Forscher Forschungstätigkeiten durchführt, oder iv) in denen Betroffene ansässig sind;
• Weiterleitung des Sicherheits- bzw. Datenschutzproblems an uns.

Prozess der verantwortlichen Offenlegung / Offenlegung von Sicherheitslücken: wie man eine Sicherheitslücke meldet

Zur Offenlegung einer möglichen Sicherheitslücke senden Sie die Informationen bitte an die Informationssicherheits- und Datenschutzteams: responsibledisclosure@choicehotels.com.

Format der Einreichung

Wenn Sie eine mögliche Sicherheitslücke melden, dann bitte unter Einschluss einer detaillierten Beschreibung der Sicherheitslücke: verwendete Tools, Ziele, Prozesse und Ergebnisse. Bitte belegen Sie Ihre Ergebnisse durch das Anhängen der bei der Suche sachdienlich verwendeten Artefakte. Obwohl Informationen über die Behebung der Sicherheitslücke zu ihrer Prüfung und Validierung/Verifizierung nicht erforderlich sind, teilen Sie bitte gegebenenfalls auch Ihren Lösungsvorschlag mit.

Bestätigung und Antwort

Wenn ein Bericht beim Informationssicherheitsteam eingeht, wird innerhalb von fünf Geschäftstagen eine Bestätigung versandt. Bei Bedarf kann eine Anfrage hinsichtlich weiterer Informationen folgen. Nach der Validierung/Verifizierung einer Sicherheitslücke erhält der Absender eine entsprechende Mitteilung.

Zeitlicher Rahmen

Choice Hotels International wird als Reaktion auf eine Drohung nicht verhandeln (z. B. verhandeln wir nicht unter der Androhung, dass die Sicherheitslücke zurückgehalten oder in der Öffentlichkeit bekannt gemacht wird). D.h. wir setzen unsere Ressourcen ein, um mit Ihnen zusammenzuarbeiten und bitten Sie, uns für die Validierung/Verifizierung der Sicherheitslücke und für deren Beilegung eine angemessene Frist einzuräumen, bevor Sie damit an die Öffentlichkeit gehen.

Meldung externer Sicherheitslücken

Über die Meldung externer Sicherheitslücken an Dritte bzw. Händler wird nach dem Ermessen von Choice Hotels International entschieden.

Außerhalb des Geltungsbereichs der Richtlinie

Die im Folgenden genannten Sicherheitslücken sind nicht gemäß der Richtlinie zur verantwortungsvollen Offenlegung einzureichen. Sicherheitslücken außerhalb des Geltungsbereichs der Richtlinie sind:

• Social Engineering, wie etwa die Versuche, Cookies zu stehlen, Anmeldeseiten zu fälschen, um Anmeldedaten zu erhalten und Phishing
• Angriffe mit dem Ziel der Ressourcenüberlastung
• Physikalische Prüfung
• Angriffe mit dem Ziel der Dienstleistungsverhinderung

Zurück nach oben