Kibernetička sigurnost
Politika koordiniranog otkrivanja ranjivosti (CVDP)
RaceChip Chiptuning GmbH & Co. KG, Karl-Frasch-Str. 14, D-73037 Göppingen, koju zastupaju Daniel Götz i Mathieu Lalanne (u nastavku „Organizacija”).
1. Područje primjene politike
Kako bismo poboljšali performanse i sigurnost naših mreža i informacijskih sustava, usvojili smo politiku koordiniranog otkrivanja ranjivosti. Ova politika sudionicima daje mogućnost da u dobroj namjeri traže potencijalne ranjivosti u sustavima, opremi i proizvodima naše organizacije te da nam proslijede informacije o otkrivenoj ranjivosti.
Pristup našim IT sustavima dopušten je isključivo s namjerom poboljšanja sigurnosti i uz strogo poštivanje svih uvjeta iz ovog dokumenta. Politika se odnosi na sigurnosne ranjivosti koje bi treće strane mogle iskoristiti ili koje mogu ometati ispravan rad naših proizvoda, usluga, mreža ili informacijskih sustava.
- RaceChip GTS 5 / GTS 5 Black
- RaceChip RS
- RaceChip S
- RaceChip XLR 5
- RaceChip RX
- RaceChip SC (Smart Controller)
- RaceChip OBD Dongle
2. Uzajamne obveze stranaka
Proporcionalnost: sudionik se obvezuje strogo poštivati načelo proporcionalnosti — ne ometati dostupnost usluga i ne koristiti ranjivost dalje od onoga što je nužno za dokazivanje sigurnosnog propusta.
Zabranjene radnje uključuju: kopiranje, mijenjanje ili brisanje podataka; mijenjanje parametara sustava; instaliranje zlonamjernog softvera (virusi, crvi, trojanci); DDoS napade; napade socijalnim inženjeringom; phishing; spam; krađu lozinki ili napade grubom silom; presretanje nejavnih komunikacija.
Povjerljivost: sudionik ne smije dijeliti niti otkrivati prikupljene informacije trećim stranama bez našeg prethodnog izričitog pristanka.
Postupanje u dobroj vjeri: organizacija se obvezuje provoditi ovu politiku u dobroj vjeri i neće poduzimati pravne radnje protiv sudionika koji poštuje njezine uvjete. Sudionik mora biti bez prijevarne namjere ili namjere nanošenja štete.
Obrada osobnih podataka: cilj CVDP-a nije namjerna obrada osobnih podataka; ako do nje ipak dođe usputno, sudionik se obvezuje poštivati zakonske obveze o zaštiti osobnih podataka i obrađivati ih samo u opsegu nužnom za istraživanje ranjivosti.
3. Kako prijaviti ranjivost?
Pronađene informacije šaljite isključivo na e-mail adresu: cybersecurity@racechip.com. Osobu odgovornu za politiku možete kontaktirati i na broj: +49 7161 1581 857.
Što je prije moguće nakon otkrića, pošaljite nam informacije o svojim nalazima koristeći obrasce iz priloga.
4. Postupak
Otkriće: sudionik po mogućnosti provodi prethodne provjere kako bi potvrdio postojanje ranjivosti i identificirao rizike.
Obavijest: sudionik nam što prije dostavlja tehničke informacije o mogućim ranjivostima. Po primitku šaljemo potvrdu o zaprimanju i sljedeće korake.
Istraga: repliciramo prijavljeno okruženje i ponašanje kako bismo provjerili prijavljene informacije te redovito obavještavamo sudionika o rezultatima.
Razvoj rješenja: nastojimo razviti rješenje u roku od 90 kalendarskih dana, uzimajući u obzir stanje tehnike, troškove i ozbiljnost rizika.
Moguće javno objavljivanje: u dogovoru sa sudionikom odlučujemo o načinu eventualne javne objave, najranije istovremeno s uvođenjem rješenja i sigurnosne obavijesti korisnicima.
5. Mjerodavno pravo
Na sve sporove koji proizlaze iz primjene ove politike primjenjuje se njemačko pravo.
6. Trajanje
Pravila politike primjenjuju se od 1. kolovoza 2024. do njihove izmjene ili ukidanja od strane organizacije. Takve izmjene objavljuju se na web-mjestu organizacije i primjenjuju se automatski nakon 30 dana od objave.