A vulnerability disclosure policy (VDP), also referred to as a responsible disclosure policy, describes how an organization will handle reports of vulnerabilities submitted by ethical hackers. A VDP must thus be easily identifiable via a simple way, a security.txt notice.

-----BEGIN PGP SIGNED MESSAGE-----

Hash: SHA256



# Our security address

Contact: mailto:cybersecurity@dussmanngroup.com



# Our security policy german



Melden einer Sicherheitslücke



Wenn Sie ein Sicherheitslücke entdeckt haben, senden Sie bitte eine E-Mail an cybersecurity@dussmanngroup.com und geben Sie dabei Folgendes an:



Die Website oder Seite, auf der die Sicherheitslücke besteht.



Eine kurze Beschreibung der Art (z.B. "XSS-Schwachstelle") der Sicherheitslücke. Bitte vermeiden Sie zu diesem Zeitpunkt jegliche Details, die eine Reproduktion des Problems ermöglichen würden. 

Einzelheiten werden zu einem späteren Zeitpunkt über verschlüsselte Kommunikation angefordert.



In Übereinstimmung bitten wir die Meldenden, nach Möglichkeit einen gutartigen (d. h. nicht zerstörerischen) Beweis für die Ausnutzung der Schwachstelle zu liefern. 

Dies trägt dazu bei, dass die Meldung schnell und genau bearbeitet werden kann, und verringert gleichzeitig die Wahrscheinlichkeit von Doppelmeldungen und oder böswilliger Ausnutzung einiger Schwachstellen 

(z. B. Übernahme von Sub-Domains). Bitte stellen Sie sicher, dass Sie Ihren Exploit-Nachweis nicht in der ersten E-Mail im Klartext senden, wenn die Schwachstelle noch ausnutzbar ist. 

Bitte stellen Sie auch sicher, dass alle Exploit-Nachweise mit unseren Richtlinien (siehe unten) übereinstimmen. Sollten Sie Zweifel haben, wenden Sie sich bitte an cybersecurity@dussmanngroup.com, um Rat zu erhalten.



Bitte lesen Sie dieses Dokument vor der Meldung von Sicherheitslücken vollständig durch, um sicherzustellen, dass Sie die Richtlinie verstehen und in Übereinstimmung mit ihr handeln können.





Was Sie erwarten können:



Als Antwort auf Ihre erste E-Mail an cybersecurity@dussmanngroup.com erhalten Sie eine Bestätigungs-E-Mail vom Dussmann Sicherheitsteam. Die Bestätigungs-E-Mail enthält eine Ticket-Referenznummer, 

die Sie bei jeder weiteren Kommunikation mit unserem Sicherheitsteam angeben müssen. Der Bestätigungs-E-Mail ist ein PGP-Schlüssel beigefügt, den Sie für die Verschlüsselung künftiger Mitteilungen mit sensiblen Informationen verwenden können.



Nach der ersten Kontaktaufnahme wird unser Sicherheitsteam die gemeldete Schwachstelle einstufen und Ihnen so schnell wie möglich antworten, um zu bestätigen, ob weitere Informationen erforderlich sind. 

Sie können sich gerne über den Stand des Prozesses erkundigen, aber bitte nicht öfter als einmal alle 14 Tage, damit sich unser Sicherheitsteam so gut wie möglich auf die Berichte konzentrieren kann.



Unser Sicherheitsteam wird Sie benachrichtigen, wenn die gemeldete Schwachstelle behoben ist und Sie bitten, zu bestätigen, dass die Lösung die Schwachstelle angemessen abdeckt. Wir werden Ihnen die Möglichkeit geben, 

uns Rückmeldung über den Prozess sowie der Behebung der Schwachstelle zu geben. Diese Informationen werden streng vertraulich behandelt.

Richtlinien:



Sicherheitsforscher dürfen nicht:



Von sich aus nach Sicherheitslücken suchen.



Auf unnötige Datenmengen zugreifen. Beispielsweise reichen 2 oder 3 Datensätze aus, um die meisten Schwachstellen zu demonstrieren (z. B. eine Aufzählung oder eine direkte Objektreferenzschwachstelle).



die Privatsphäre von Dussmann -Benutzern, -Mitarbeitern, -Auftragnehmern, Systemen usw. verletzen z.B. durch Nutzung, Weitergabe und oder nicht ordnungsgemäße Sicherung von Daten, die von unseren Systemen oder Diensten abgerufen wurden.



Schwachstellen oder damit zusammenhängende Details über Methoden, die nicht in dieser Richtlinie beschrieben sind, an jemand anderes als Ihren Dussmann Sicherheitskontakt weitergeben.



Daten in unseren Systemen/Diensten, die nicht Ihre eigenen sind, ändern.



unsere Dienste und oder Systeme zu stören.



Wir bitten Sie, alle im Rahmen von Nachforschungen gewonnenen Daten sicher zu löschen, sobald sie nicht mehr benötigt werden.



Wenn Sie sich zu irgendeinem Zeitpunkt nicht sicher sind, ob die von Ihnen geplanten Maßnahmen akzeptabel sind, wenden Sie sich bitte an unser Sicherheitsteam, um Ratschläge zu erhalten 

(bitte geben Sie in den ersten Mitteilungen keine vertraulichen Informationen an): cybersecurity@dussmanngroup.com



# Our security policy english



Reporting a security vulnerability



If you have discovered a security vulnerability, please send an email to cybersecurity@dussmanngroup.com with the following information:



The website or page where the vulnerability exists.



A brief description of the nature (e.g. "XSS vulnerability") of the vulnerability. Please avoid any details at this stage that would allow the issue to be reproduced. 

Details will be requested at a later date via encrypted communication.



By agreement, we ask reporters to provide evidence of the exploitation of the vulnerability that is as benign (i.e. non-destructive) as possible. 

This helps to ensure that the report can be processed quickly and accurately, while reducing the likelihood of duplicate reports or malicious exploitation of some vulnerabilities 

(e.g. sub-domain takeover). Please ensure that you do not send your exploit evidence in plain text in the first email if the vulnerability is still exploitable. 

Please also make sure that all exploit evidence complies with our guidelines (see below). If you have any doubts, please contact cybersecurity@dussmanngroup.com.



Please read this document in full before reporting vulnerabilities to ensure you understand the guidelines and can act accordingly.



What you can expect:



In response to your initial email to cybersecurity@dussmanngroup.com, you will receive a confirmation email from the Dussmann security team. The confirmation email will contain a ticket reference number, 

which you will need to quote in any further communication with our security team. Attached to the confirmation email is a PGP key that you can use to encrypt future communications with sensitive information.



After the initial contact, our security team will assess the reported vulnerability and let you know as soon as possible if further information is required. 

You are welcome to inquire about the status of the process, but please not more than once every 14 days so that our security team can focus on the reports as much as possible.



Our security team will notify you when the reported vulnerability is fixed and ask you to confirm that the fix adequately covers the vulnerability. We will give you the opportunity to 

give us feedback on the process and remediation of the vulnerability. This information will be kept strictly confidential.

Guidelines:



Security researchers are not permitted to



Search for security vulnerabilities on their own initiative.



Access unnecessary amounts of data. For example, 2 or 3 data sets are sufficient to demonstrate most vulnerabilities (e.g. an enumeration or a direct object reference vulnerability).



Violate the privacy of Dussmann users, employees, contractors, systems, etc., e.g. by using, sharing or improperly securing data retrieved from our systems or services.



disclose vulnerabilities or related details to anyone other than your Dussmann security contact via methods not described in this policy.



Change data in our systems/services that is not your own.



Interfere with our services and/or systems.



We ask that you securely delete any data obtained as part of an investigation as soon as it is no longer required.



If at any time you are unsure as to whether the actions you plan to take are acceptable, please contact our security team for advice 

(please do not include any confidential information in your initial communications): cybersecurity@dussmanngroup.com





Preferred-Languages: de , en



Expires: 2025-01-31T11:00:00.000Z



-----BEGIN PGP SIGNATURE-----



iQEzBAEBCAAdFiEEByPjOTh725POOqfBOwma1ac90TIFAmYWSaMACgkQOwma1ac9

0TJQHwf+LXDgNbN++RGiTkA8pHJpt8vV3wx52MEXBzo49DZX6G1IKZCVh0QzjGdr

xG1F0/Zm48mzVVSP+2J7qKFHCVNdqO4n/fNA8ZsO/0jCvEy3hsnLta+KxINX9gid

t6ofmajz3dDrT0/S1YGvOr58zAr1nOp7RhaPiMPHOnQvZzj7MvkqFsqpY40cFV9P

D4wGeaIrXdXBTy5AusDBfw7g5MDoNnyBI/kLi5cPZadrZo9B9KLi1RYycXdXgJgw

wQjExYWdrdzeYrNF7sAh0Y0HIBmjofe/p7Bj8bXr3dp0leN070w3faQCeQv+m7M7

Xc6gcmmVuIB3R3r+NROITleZbpleYg==

=ES4G

-----END PGP SIGNATURE-----