Hackerpolicy

Vulnerability Disclosure Policy

VGT-SENTINEL-ZONE // SAFE HARBOR GUIDELINES

1. Grundsatz und "Safe Harbor"

Wir schätzen die Arbeit von IT-Sicherheitsforschern, die dazu beitragen, unsere Systeme zu sichern. Wenn Sie die in dieser Richtlinie genannten Regeln einhalten, verpflichten wir uns, keine rechtlichen Schritte (weder zivil- noch strafrechtlich) gegen Sie einzuleiten und Ihre Meldung mit höchster Vertraulichkeit zu behandeln.

2. Erlaubte Handlungen (Was Sie tun dürfen)

Untersuchung unserer Systeme ausschließlich auf technische Schwachstellen.
Nutzung von Proof-of-Concepts (PoC), um die Existenz einer Sicherheitslücke zu demonstrieren, ohne Schaden oder Systemausfälle anzurichten.
Sofortige und vertrauliche Meldung der Lücke über unsere offiziellen Kanäle.

Sicherheitskontakt hinterlegt in unserer security.txt

3. Strikt untersagte Handlungen (Was verboten ist)

Jeder Verstoß gegen die folgenden Punkte hebt den Schutz dieser Richtlinie sofort auf und wird von uns strafrechtlich verfolgt:

Keine Systembeeinträchtigung: Die Durchführung von Denial-of-Service-Angriffen (DoS / DDoS), automatisierten Brute-Force-Tests oder Spam-Angriffen ist absolut untersagt.
Kein Datendiebstahl / Keine Datenveränderung: Es dürfen keine personenbezogenen Daten, Kundendaten oder internen Systemdaten heruntergeladen, kopiert, verändert oder gelöscht werden. Ein Zugriff über das zur Demonstration der Lücke absolut notwendige Minimum hinaus ist verboten.
Keine Erpressung: Das Einfordern von Lösegeld, Belohnungen oder Bug Bounties als Bedingung für die Herausgabe der Schwachstelle (Ransomware-/Erpressungs-Taktiken) führt zur sofortigen Anzeige.
Keine Schadsoftware: Das Einschleusen von Malware, Backdoors, Webshells oder Trojanern ist untersagt.
Kein Social Engineering: Angriffe auf unsere Mitarbeiter, Dienstleister oder Kunden (Phishing, Vishing, etc.) sind verboten.

4. Verantwortungsbewusste Offenlegung (Responsible Disclosure)

Wir bitten Sie, uns eine angemessene Frist zur Behebung der Schwachstelle einzuräumen, bevor Sie Details darüber öffentlich machen (Full Disclosure). Wir bemühen uns, den Empfang Ihrer Meldung innerhalb von 48 Stunden zu bestätigen.

1. Principle and "Safe Harbor"

We value the work of IT security researchers who help secure our systems. If you comply with the rules set out in this policy, we commit to taking no legal action (either civil or criminal) against you and to treating your report with the utmost confidentiality.

2. Permitted Actions (What you are allowed to do)

Investigation of our systems exclusively for technical vulnerabilities.
Use of Proof-of-Concepts (PoC) to demonstrate the existence of a vulnerability without causing harm or system disruption.
Immediate and confidential reporting of the vulnerability through our official channels.

Security contact listed in our security.txt

3. Strictly Prohibited Actions (What is forbidden)

Any violation of the following points immediately revokes the protection of this policy and will be prosecuted by us:

No System Disruption: Performing Denial-of-Service attacks (DoS / DDoS), automated brute-force tests, or spam attacks is strictly prohibited.
No Data Theft / No Data Modification: No personal data, customer data, or internal system data may be downloaded, copied, modified, or deleted. Access beyond the absolute minimum required to demonstrate the vulnerability is forbidden.
No Extortion: Demanding ransom, rewards, or bug bounties as a condition for disclosing the vulnerability (ransomware/extortion tactics) will lead to an immediate police report.
No Malware: Inserting malware, backdoors, webshells, or trojans is prohibited.
No Social Engineering: Attacks on our employees, service providers, or customers (phishing, vishing, etc.) are forbidden.

4. Responsible Disclosure

We ask you to allow us a reasonable period of time to fix the vulnerability before you make details about it public (Full Disclosure). We strive to acknowledge receipt of your report within 48 hours.

1. Принцип и «Безопасная гавань»

Мы ценим работу специалистов по ИТ-безопасности, которые помогают защищать наши системы. Если вы соблюдаете правила, изложенные в этой политике, мы обязуемся не предпринимать против вас никаких юридических действий (как гражданских, так и уголовных) и гарантируем полную конфиденциальность вашего обращения.

2. Разрешенные действия (Что вам разрешено делать)

Исследование наших систем исключительно на наличие технических уязвимостей.
Использование Proof-of-Concept (PoC) для демонстрации существования уязвимости без нанесения вреда или сбоев в работе систем.
Немедленное и конфиденциальное сообщение об уязвимости через наши официальные каналы связи.

Контактная информация указана в нашем файле security.txt

3. Строго запрещенные действия (Что запрещено)

Любое нарушение следующих пунктов немедленно аннулирует защиту данной политики и повлечет за собой уголовное преследование с нашей стороны:

Без нарушения работы систем: Проведение атак типа "отказ в обслуживании" (DoS / DDoS), автоматизированных тестов перебора паролей (Brute-Force) или спам-рассылок категорически запрещено.
Без кражи и изменения данных: Скачивание, копирование, изменение или удаление персональных данных, данных клиентов или внутренней системной информации запрещено. Доступ разрешен только в объеме абсолютного минимума, необходимого для демонстрации уязвимости.
Без вымогательства: Требование выкупа, вознаграждений или Bug Bounty в качестве условия для раскрытия уязвимости (тактики вымогательства/шантажа) приведет к немедленной подаче заявления в правоохранительные органы.
Без вредоносного ПО: Внедрение вредоносных программ, бэкдоров, веб-шеллов или троянов запрещено.
Без социальной инженерии: Атаки на наших сотрудников, поставщиков услуг или клиентов (фишинг, вишинг и т.д.) запрещены.

4. Ответственное разглашение (Responsible Disclosure)

Мы просим вас предоставить нам разумный срок для устранения уязвимости, прежде чем публиковать подробности о ней (Full Disclosure). Мы стремимся подтвердить получение вашего сообщения в течение 48 часов.