Richtlinie zum Melden von Sicherheitsrisiken

 

Vertrauen steht bei Salesforce an oberster Stelle. Daher nehmen wir den Schutz unserer Kundendaten sehr ernst.

Das Salesforce-Sicherheitsteam weiß, wie nützlich unabhängige Sicherheitsforscher in puncto Internetsicherheit sind. Daher unterstützen wir das entsprechende Melden von Sicherheitsrisiken, die auf unserer Website oder in unseren Anwendungen möglicherweise auftreten. Salesforce verpflichtet zur Zusammenarbeit mit Sicherheitsforschern, um uns gemeldete potenzielle Sicherheitsrisiken zu prüfen und zu beheben.

Bitte lesen Sie diese Bedingungen, bevor Sie ein Sicherheitsrisiko testen bzw. melden. Salesforce verspricht, keine rechtlichen Schritte gegen Forscher einzuleiten, die in unsere Systeme eindringen bzw. dies versuchen, solange sie sich an diese Richtlinie halten.

Testen von Sicherheitsrisiken:

Führen Sie bei Vorhandensein einer Test-Edition oder Developer Edition alle Sicherheitsrisikotests für derartige Instanzen durch. Verwenden Sie beim Testen unserer Onlineservices stets Test- oder Demo-Accounts.

 

Melden eines potenziellen Sicherheitsrisikos:

  • Senden Sie Salesforce das mutmaßliche Sicherheitsrisiko vertraulich per E-Mail an security@salesforce.com.
  • Stellen Sie dem Salesforce-Sicherheitsteam vollständige Informationen über das mutmaßliche Sicherheitsrisiko bereit, sodass das Problem entsprechend überprüft und reproduziert werden kann.
 

Von Salesforce werden die folgenden Sicherheitsforschungstypen nicht gestattet:

Auch wenn wir Sie beim Ermitteln und Melden der von Ihnen in entsprechender Weise in Erfahrung gebrachten Sicherheitsrisiken unterstützen, ist das folgende Verhalten strengstens untersagt:

  • Ausführung von Aktionen, die sich möglicherweise negativ auf Salesforce oder dessen Benutzer auswirken (zum Beispiel Spam, Brute-Force-, Denial-of-Service-Angriff …)
  • Zugriff oder versuchter Zugriff auf fremde Daten oder Informationen
  • Zerstörung oder Beschädigung bzw. versuchte Zerstörung oder Beschädigung fremder Daten oder Informationen
  • Durchführung physischer oder elektronischer Angriffe auf Salesforce-Mitarbeiter, -Eigentum oder -Rechenzentren
  • Social Engineering des Kundendiensts, der Mitarbeiter oder Vertragsnehmer von Salesforce
  • Durchführung von Sicherheitsrisikotests der verwendeten Dienste unter Verwendung von Nicht-Test-Accounts (zum Beispiel Developer Edition- oder Test-Editionsinstanzen)
  • Verletzung von Gesetzen oder Vereinbarungen zum Ermitteln von Sicherheitsrisiken
 

Die Verpflichtung des Salesforce-Sicherheitsteams:

Wir bitten Sie, nicht behobene Sicherheitsrisiken weder für Drittanbieter freizugeben noch bei diesen zu veröffentlichen. Wenn Sie ein entsprechendes Sicherheitsrisiko melden, werden das Salesforce-Sicherheitsteam und die zugehörigen Entwicklungsorganisationen folgende Maßnahmen in angemessener Weise ergreifen:

  • Zeitlich angemessene Antwort, Bestätigung des Erhalts Ihres Sicherheitsrisikoberichts
  • Bereitstellung eines geschätzten Zeitraums für die Bearbeitung des Sicherheitsrisikoberichts
  • Benachrichtigung über die Behebung des Sicherheitsrisikos

Wir möchten uns bei jedem Forscher bedanken, der einen Sicherheitsbericht übermittelt, welcher uns dabei hilft, die Gesamtsicherheit bei Salesforce zu verbessern.