Reaktion auf Sicherheit

SecurEnvoy ist ein vertrauenswürdiger Anbieter von Identity Management. Auf fünf Kontinenten profitieren ihre Kunden von schnellen Bereitstellungen, die durch sofortige Bereitstellung, Benutzerfreundlichkeit und einfache Verwaltung skaliert werden können.

Die Mission von SecurEnvoy ist es, die beste Identitätsschutz- und Intelligence-Lösung in der Sicherheitsbranche anzubieten, und wir ermutigen und schätzen positive Interaktionen mit Sicherheitsforschern, um sicherzustellen, dass unsere Lösungen die Sicherheitsstandards einhalten.

Bitte kontaktieren Sie security@securenvoy.com und wir werden alle Berichte mit größter Wichtigkeit behandeln, während wir die Auswirkungen auf unsere Kunden bewerten.

Während dieses Prozesses wird SecurEnvoy so schnell wie möglich kommunizieren, bis unsere Untersuchung abgeschlossen ist und alle notwendigen Abhilfemaßnahmen erforderlich sind. Wir danken Ihnen für Ihre Zeit und Ihr Know-how, um die Sicherheit unseres Unternehmens und unserer Kunden zu verbessern.

Unser Testprozess

SecurEnvoy betreibt derzeit kein Bug-Bounty-Programm, kann sich jedoch nach unserem Ermessen dafür entscheiden, Reporter von Problemen in einigen Fällen zu belohnen.

Jede unserer Releases durchläuft eine strenge Testumgebung, um sicherzustellen, dass wir die Sicherheitserwartungen unserer Kunden und Kunden übertreffen. Diese Tests beinhalten einen Penetrationstest, um unseren Kunden Sicherheit über Risiken in dieser neuesten Version zu bieten. Unsere Testberater verfügen über zahlreiche CREST-Zertifizierungen, darunter CREST Certified Tester, CREST Registered Tester und CREST Certified Simulated Attack Manager, neben anderen branchenweit anerkannten Zertifizierungen.

Verantwortungsvolle Offenlegung

Die Benachrichtigung von SecurEnvoy vor der Veröffentlichung von Informationen über eine Schwachstelle ist in der Sicherheitsbranche Standard und wird als "verantwortungsvolle Offenlegung" bezeichnet. Diese Vorankündigung ermöglicht es SecurEnvoy, bekannte Schwachstellen zu recherchieren, zu beheben und seinen Kunden auf eine Weise offenzulegen, die SecurEnvoy-Endbenutzer schützt, bevor Computerkriminelle über ihre Existenz informiert werden – und das Internet für Unternehmen sicherer zu halten.

Wir freuen uns über Ihre Unterstützung bei der Gewährleistung der Sicherheit der Produkte und Dienstleistungen von SecurEnvoy.

Regeln des Engagements

Um eine großartige Erfahrung mit SecurEnvoy zu gewährleisten, bitten wir die Forscher, diese einfachen Regeln des Engagements zu befolgen, um das Potenzial zu begrenzen, dass Unternehmens- und / oder Kundendaten gefährdet sein können:

• Sie interagieren nicht mit einem einzelnen Konto (einschließlich ändern, Löschen, Teilen, Kopieren oder Zugreifen auf Daten aus dem Konto), wenn der Kontoinhaber solchen Aktionen nicht zugestimmt hat.
• Sie bemühen sich nach Treu und Glauben, Datenschutzverletzungen und Störungen anderer zu vermeiden, einschließlich (aber nicht beschränkt auf) die Zerstörung von Daten und die Unterbrechung oder Verschlechterung unserer Dienste während Ihrer Testprozesse.
• Verwenden Sie Ihre Ergebnisse nicht, um Kunden oder SecurEnvoy-Mitarbeiter während der Tests zu phishing, spammen, Social Engineer zu versenden oder anderweitig zu betrügen, um mehr von einem eskalierten Zugriff zu erhalten.
• Führen Sie keine Denial-of-Services- (DoS) oder DDoS-Angriffe (Distributed Denial of Service) gegen SecurEnvoy-Ressourcen/-Dienste durch, um die Auswirkungen auf ein vermutetes Sicherheitsproblem nachzuweisen.
• Wenn Sie sich nicht sicher sind, wie weit Ihre Tests gehen sollen, wenden Sie sich bitte an die security@securenvoy.com, um die Tests mit uns zu koordinieren. Wir können Ihren Verdacht oft auf einfache Weise bestätigen, die die Wahrscheinlichkeit eines Schadens für unsere Dienstleistungen und Kunden verringern kann.

Melden von Sicherheitslücken

Bei einem Onlinedienst-Sicherheitsproblem…

• Datum und Uhrzeit, zu der Sie das Problem zum ersten Mal entdeckt haben
• Die URL(s), bei der/denen Sie festgestellt haben, dass das Sicherheitsproblem zutrifft
• Alle relevanten Header & Parameter, die verwendet werden, um das Risiko für den Dienst zu demonstrieren
• Ihr Betriebssystem und Browser mit Versionsnummer, die für alle Tests verwendet werden
• Listen Sie außerdem alle Tools oder benutzerdefinierten Skripts von Drittanbietern auf, die zum Zeitpunkt des Testens verwendet wurden.

Für ein Sicherheitsproblem mit gepackter Software…

• Der Name der SecurEnvoy-Software, die Sie getestet haben, und versionsnummer
• Das Betriebssystem, die Plattform oder andere relevante Umgebungsdetails
• Falls relevant, die Konfigurationsdatei für die Software mit eventuellen Geheimnissen geschwärzt

Für ALLE Sicherheitsprobleme fügen Sie bitte auch hinzu…

• Eine Beschreibung der Art des Problems (z. B. Remote Code Execution, Cross-Site Scripting)
• Ihre Perspektive auf die Auswirkungen, die Kritikalität des Befundes und etwaige Missbrauchsfälle
• Beispielcode (d. h. Proof-of-Concept) und/oder Tool zum Generieren einer Exploit-Nutzlast
• Die besten Kontaktinformationen für den Finder des Problems (z.B. E-Mail, Telefon)
• Jeder vorgeplante Offenlegungszeitplan, wenn Sie die Ergebnisse veröffentlichen möchten
• Alle Informationen, auf die Sie während des Tests versehentlich ohne Erlaubnis zugegriffen haben

Unsere Antwort

SecurEnvoy wird den Eingang eines Berichts innerhalb von 48 Stunden bestätigen und Sie bitten, uns eine angemessene Zeit zu geben, um ein Problem zu untersuchen und zu mildern, bevor Sie Informationen über den Bericht veröffentlichen oder diese Informationen mit anderen teilen.

Es ist möglich, dass SecurEnvoy zusätzliche Fragen stellen muss, um sicherzustellen, dass wir den Bericht und die Auswirkungen klar verstehen.

Sobald ein gemeldetes Problem validiert und behoben wurde, wird SecurEnvoy seinen Kunden eine öffentliche Ankündigung zustellen und über die Website / Blogs veröffentlichen und relevante Versionshinweise aktualisieren.