Skip to main content

Programm & Plattform zur Aufdeckung von Schwachstellen in Call Centern

Was ist VDP, das Programm zur Aufdeckung von Schwachstellen?

Der Schutz der Sicherheit und Integrität der Five9-Plattform ist für den von uns angebotenen Service entscheidend. So haben wir uns verpflichtet, ein zu jedem Zeitpunkt sicheres Produkt anzubieten. Wir schätzen die Erkenntnisse, welche die Community im Bereich der Sicherheitsforschung häufig bereitstellt. Gleichzeitig erkennt Five9 an, dass die Entwicklung einer engen Beziehung mit der Community zur Verbesserung unserer eigenen Sicherheit beitragen wird.

Wenn Sie potenzielle Sicherheitslücken in den Five9-Diensten entdeckt haben oder glauben, diese entdeckt zu haben, bitten wir Sie, uns dies im Rahmen des „Responsible Disclosure Program“ mitzuteilen. Bitte beachten Sie, dass dieses Programm keine Geldprämien vorsieht.

Bild
What is the VDP?

Wo soll ich anfangen?

Aufdecken von Sicherheitslücken

Wir fördern eine verantwortungsvolle Sicherheitsrecherche zu den Dienstleistungen und Produkten von Five9. Nach vorheriger schriftlicher Genehmigung erlauben wir Ihnen, Schwachstellenanalysen und entsprechende Tests an den Five9-Diensten durchzuführen, zu denen Sie autorisierten Zugang haben. Entsprechende Anfragen richten Sie bitte an privacy@five9.com.

In keinem Fall werden Ihre Untersuchungen und Tests Folgendes umfassen:

  1. Zugriff auf Konten oder Daten, die nicht Ihnen oder Ihren autorisierten Benutzern gehören, oder der Versuch eines solchen Zugriffs
  2. Versuche, Daten zu verändern oder zu vernichten
  3. Ausführung oder Versuch der Ausführung eines Denial-of-Service-Angriffs
  4. Versenden oder Versuchen des Versendens von unaufgeforderten oder unerlaubten E-Mails, Spam oder anderen Formen von unaufgeforderten Nachrichten an Mitarbeiter oder Auftragnehmer von Five9
  5. Testen von Websites, Anwendungen oder Diensten Dritter, die in die Five9-Dienste integriert sind
  6. Posten, Übertragen, Hochladen, Verlinken, Versenden oder Speichern von Malware, Viren oder ähnlicher schädlicher Software oder sonstige Versuche, die Five9-Dienste zu unterbrechen oder zu beeinträchtigen
  7. Jegliche Aktivität, die gegen geltendes Recht verstößt, oder die Verletzung von Vereinbarungen

Nicht zu meldende Probleme

  1. Offenlegung von bekannten öffentlichen Dateien oder Verzeichnissen (z. B. robots.txt)
  2. Banneroffenlegung für allgemeine/öffentliche Dienste
  3. Konfigurationsvorschläge für HTTP/HTTPS/SSL/TLS-Sicherheitsheader
  4. Fehlen von Secure/HTTPOnly-Kennzeichnungen bei nicht sensiblen Cookies
  5. Phishing oder Social-Engineering-Techniken
  6. Vorliegen von „Autovervollständigungs“- oder „Passwort speichern“-Vorgängen in Anwendungen/Webbrowsern
  7. Konfigurationsvorschläge für das Sender Policy Framework (SPF)
  8. DMARC-Konfigurationen
  9. Clickjacking/UI-Redressing

Meldung von Sicherheitslücken

Sie glauben, eine Sicherheitslücke entdeckt zu haben? Dann teilen Sie Five9 bitte die Einzelheiten mit, indem Sie das untenstehende Formular ausfüllen. Dies gilt, sofern Sie die schriftliche Genehmigung von Five9 zur Durchführung der Untersuchung erhalten haben.

Safe Harbor

Wenn im Sinne dieser Richtlinie eine entsprechende Schwachstellenrecherche betrieben wird, betrachten wir diese Recherche wie folgt:

  • In Übereinstimmung mit dem Computer Fraud and Abuse Act (CFAA) (und/oder ähnlichen staatlichen Gesetzen) autorisiert; wir werden keine rechtlichen Schritte wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie gegen Sie einleiten oder unterstützen.
  • Ausgenommen vom Digital Millennium Copyright Act (DMCA); wir werden Sie nicht wegen Umgehung von Technologieschutzmaßnahmen belangen.
  • Ausgenommen von den Beschränkungen in unseren Allgemeinen Geschäftsbedingungen, die die Durchführung von Sicherheitsrecherchen behindern würden; in begrenztem Umfang verzichten wir auf diese Beschränkungen für Arbeiten, die im Rahmen dieser Richtlinie durchgeführt werden.
  • Rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.
  • Es wird erwartet, dass Sie sich wie immer an alle geltenden Gesetze halten.

Wenn Sie Bedenken haben oder sich nicht sicher sind, ob Ihre Sicherheitsrecherche mit dieser Richtlinie übereinstimmt, erkundigen Sie sich bitte unter support@bugcrowd.com, bevor Sie weitere Schritte unternehmen.

Verpflichtung des Sicherheitsteams von Five9

Bitte haben Sie Verständnis dafür, dass Ihre Recherche als vertrauliche Information von Five9 angesehen wird und jegliche Veröffentlichung, Vervielfältigung oder sonstige Weitergabe der Recherche ohne vorherige schriftliche Zustimmung von Five9 ausdrücklich untersagt ist. Wenn Sie eine Schwachstelle melden, werden das Five9-Sicherheitsteam und die zugehörigen Entwicklungsorganisationen angemessene Anstrengungen unternehmen, um Folgendes zu gewährleisten:

  1. Rechtzeitige Antwort und Bestätigung des Empfangs Ihrer Schwachstellenmeldung
  2. Angabe eines voraussichtlichen Zeitrahmens für die Bearbeitung des Schwachstellenberichts
  3. Benachrichtigung, wenn die Sicherheitslücke behoben wurde

Schwachstelle oder Fehler melden