Sicherheit

Erklärung von Cozyla zur koordinierten Offenlegung von Schwachstellen (Coordinated Vulnerability Disclosure)

Zuletzt aktualisiert: 28. August 2024

Cozyla setzt sich konsequent dafür ein, die Sicherheit unserer Kunden zu gewährleisten, die unsere Produkte und Dienstleistungen nutzen.

Sicherheitsstrategie

Da Informationen über Schwachstellen vergleichsweise sensibel sind, empfehlen wir Ihnen dringend, beim Melden einer potenziellen Sicherheitslücke an Cozyla unseren öffentlichen PGP-Schlüssel zur Verschlüsselung zu verwenden und uns die technischen Details verschlüsselt zu übermitteln.

Cozyla PGP Public Key Datei

  • Bitte nutzen Sie unseren öffentlichen PGP-Schlüssel, um alle E-Mail-Einsendungen an security@cozyla.com zu verschlüsseln.

  • Bitte teilen Sie uns ausreichende Kontaktdaten mit (z. B. den Namen Ihres Unternehmens/Ihrer Organisation und Ihren Ansprechpartner), damit wir mit Ihnen in Verbindung treten können.

  • Bitte stellen Sie eine technische Beschreibung des Problems oder der Schwachstelle bereit.

  • Bitte machen Sie Angaben darüber, welches spezifische Produkt Sie getestet haben, einschließlich des Produktnamens und der Versionsnummer.

  • Um uns die Überprüfung des Problems zu erleichtern, stellen Sie uns bitte alle zusätzlichen Informationen zur Verfügung, einschließlich Details zu den für die Tests verwendeten Tools sowie relevanten Testkonfigurationen.

Strategie für Software-Wartungsupdates

Sobald eine Schwachstelle identifiziert wurde, wird die Firmware wie folgt aktualisiert:

  1. Identifikation: Schwachstellen werden durch Nutzer oder andere Parteien gemeldet.

  2. Überprüfung: Verifizierung der gemeldeten Schwachstelle.

  3. Behebung: Erarbeitung einer Lösung durch den Security Technology Manager und den Software-Ingenieur.

  4. Validierung: Durchführung von Qualitätssicherungs- (QA) und Validierungstests für die gefundene Lösung.

  5. Zertifizierung: Sofern eine Google-Authentifizierung erforderlich ist, werden die entsprechenden Komponenten an ein von Google autorisiertes Drittanbieter-Zertifizierungslabor zur Prüfung und Genehmigung übermittelt.

  6. Bereitstellung: Auslieferung des Updates per OTA (Over-The-Air).

Reaktionszeit

Nach dem Erhalt einer Schwachstellenmeldung werden wir den Eingang bestätigen und innerhalb von ca. 7 Werktagen eine Rückmeldung geben. Dies umfasst die Bestätigung des Problems sowie ein erstes Feedback. Status-Updates bezüglich der Entwicklung und Bereitstellung des Fixes werden so schnell wie möglich per E-Mail kommuniziert.

Sobald eine Schwachstelle verifiziert wurde, werden wir detaillierte Informationen über das Problem und die entsprechende Lösung gemäß dem folgenden Zeitplan offenlegen:

  1. Kritische Schwachstellen (Critical): Behebung innerhalb von 30 Tagen;

  2. Hohe Schwachstellen (High): Behebung innerhalb von 60 Tagen;

  3. Mittlere Schwachstellen (Medium): Behebung innerhalb von 90 Tagen;

  4. Niedrige Schwachstellen (Low): Behebung in einem längeren Zeitraum.

Hinweise

Unsere Produkte erhalten regelmäßige Sicherheitsupdates, um einen kontinuierlichen Schutz zu gewährleisten. Der vordefinierte Support-Zeitraum für Sicherheitsupdates endet ein Jahr nach dem End-of-Life-Status (EOL) des Produkts. Dieser Status tritt 3 Jahre nach dem Herstellungsdatum des Produkts ein. Das Herstellungsdatum des Produkts finden Sie auf der Produktverpackung.

Sicherheits-Notfallplan (Security Response Plan)

Sollte ein Sicherheitsvorfall auftreten, muss dieser als dringende Angelegenheit mit höchster Priorität behandelt werden. Der CEO und der CTO müssen über diesen Vorfall informiert werden und an der Bewältigung des Vorfalls mitwirken. Handelt es sich bei dem Vorfall um ein Problem der Software-Wartung, wird er gemäß den Prozessen der „Strategie für Software-Wartungsupdates“ auf dieser Seite behandelt.

Es muss unverzüglich eine Krisensitzung einberufen werden. Ziel dieser Sitzung ist es, Informationen zu sammeln, die Sachlage des Vorfalls zu klären und den voraussichtlichen Zeitrahmen für die Behebung (Remediation) des Vorfalls abzuschätzen.

Rechtlicher Hinweis

Für den Fall, dass Sie sich entscheiden, Informationen mit Cozyla zu teilen, erklären Sie sich damit einverstanden, dass die von Ihnen übermittelten Informationen als nicht proprietär und nicht vertraulich gelten und dass Cozyla berechtigt ist, diese Informationen in jeglicher Weise, ganz oder teilweise und ohne Einschränkung, zu nutzen. Darüber hinaus stimmen Sie zu, dass durch die Übermittlung von Informationen keinerlei Rechte für Sie oder Verpflichtungen für Cozyla entstehen.