Vulnerability Disclosure Policy

(Richtlinie zur Offenlegung von Schwachstellen)

Verbindlichkeit

Deutsche Post DHL Group legt großen Wert auf Informationssicherheit. Wir verpflichten uns, die Vertraulichkeit, Integrität und Verfügbarkeit der Systeme und Informationen von Deutsche Post DHL Group zu gewährleisten, um das Vertrauen unserer Kunden zu sichern.

Daher ist die Sicherheit unserer Online-Plattformen und -Anwendungen für uns von großer Bedeutung. Wir bitten Sie, Schwachstellen auf verantwortungsvolle Weise und in Übereinstimmung mit diesem Prozess offenzulegen. Anschließend überprüfen und beheben wir die Schwachstellen.

Safe-Harbor-Erklärung

Wenn Sie sich nach bestem Wissen und Gewissen bemühen, diese Richtlinie während Ihrer Sicherheitstests einzuhalten, betrachten wir Ihre Recherche als autorisiert. Wir werden mit Ihnen zusammenarbeiten, um gefundene Schwachstellen schnellstmöglich zu verstehen und zu beheben. Deutsche Post DHL Group wird keine rechtlichen Schritte im Zusammenhang mit Ihrer Recherche empfehlen oder einleiten. Sollte ein Dritter aufgrund von Aktivitäten, die in Übereinstimmung mit dieser Richtlinie durchgeführt wurden, rechtliche Schritte gegen Sie einleiten, werden wir diese Autorisierung bekannt geben.

Wichtige Leitlinien

Im Rahmen dieser Richtlinie bezeichnet der Begriff „Recherche“ Aktivitäten bei denen Sie

  • uns so schnell wie möglich Informieren, wenn Sie ein tatsächliches oder potenzielles Sicherheitsproblem entdecken
  • folgende Dinge vermeiden: Datenschutzverletzungen, Beeinträchtigung der Benutzerfreundlichkeit, Störung von Produktionssystemen und Zerstörung oder Manipulation von Daten sowie Export von vertraulichen Daten.
  • Keine sensiblen oder persönlichen Daten in den Bericht über die offengelegten Schwachstellen aufnehmen
  • Exploits nur in dem Umfang, der notwendig ist, um das Vorhandensein einer Schwachstelle zu bestätigen, verwenden. Verwenden Sie einen Exploit nicht, um Daten zu kompromittieren oder zu exfiltrieren, Befehlszeilenzugriff und/oder Persistenz herzustellen oder  um auf andere Systeme überzugreifen
  • uns eine angemessene Zeit geben, um das Problem zu lösen, bevor Sie es öffentlich machen. Eine Veröffentlichung erfolgt, nachdem Deutsche Post DHL Group bestätigt hat, dass das Problem behoben ist.

Sobald Sie eine Schwachstelle festgestellt haben oder auf sensible Daten (einschließlich personenbezogener Daten, finanzieller Daten,  geschützter Daten oder Geschäftsgeheimnisse ) gestoßen sind, müssen Sie Ihren Test abbrechen, uns sofort benachrichtigen und diese Daten nicht an Dritte weitergeben.

Testmethoden

Die folgenden Prüfverfahren sind nicht zugelassen:

  • Netzwerk-Denial-of-Service-Tests (DoS oder DDoS) oder andere Tests, die den Zugang zu einem System beeinträchtigen oder ein System bzw. dessen Daten beschädigen
  • Physische Tests (z. B. Bürozugang, offene Türen, Abhören), Social Engineering (z. B. Phishing, Vishing und Telefonanrufe) oder andere nicht netzgestützte Sicherheitstests
  • Vollständige Red Team Penetrationstests, die nach dem Fund einer Schwachstelle weitergehen und unsere System kompromittieren

Wir bitten Sie, uns die folgenden Arten von Problemen nicht zu melden:

  • Fehlende Cookie-Flags und Sicherheits-Header von Webanwendungen
  • Formular-Spamming
  • UI- und UX-Bugs
  • Offene Ports
  • SSL/TLS-Fehlkonfigurationen
  • DKIM & SPF-Fehlkonfigurationen
  • Grammatik- und Rechtschreibfehler
  • Probleme, die bereits über Bitsight oder SecurityScorecard veröffentlich wurden

Umfang

Diese Richtlinie gilt für die all Systeme und Dienste der Deutschen Post DHL Group, explizit:

  • *.dhl.com
  • *.dpdhl.com
  • *.deutschepost.de

Alle oben nicht ausdrücklich aufgeführten Dienste, wie z. B. alle damit verbundenen Dienste, sind vom Anwendungsbereich ausgeschlossen und sind nicht zur Prüfung zugelassen. Darüber hinaus fallen Schwachstellen, die in Systemen unserer Lieferanten gefunden werden, nicht in den Geltungsbereich dieser Richtlinie und sollten den Lieferanten gemäß ihrer Vulnerability Disclosure Policy (falls vorhanden) direkt gemeldet werden. Wenn Sie sich nicht sicher sind, ob ein System in den Geltungsbereich fällt oder nicht, wenden Sie sich an cybersecurity@dpdhl.com, bevor Sie mit Ihrer Recherche beginnen.

Wenn es ein bestimmtes System gibt, das zwar nicht in den Geltungsbereich fällt, Ihrer Meinung nach aber getestet werden sollte, setzen Sie sich bitte mit uns in Verbindung, um es zu besprechen. Wir werden den Geltungsbereich dieser Richtlinie im Laufe der Zeit erweitern.

Prozess

Was wir gerne von Ihnen sehen würden:

Damit wir die Einsendungen besser einordnen und priorisieren können, empfehlen wir, dass Ihre Berichte:

  • Die URL, an der die Sicherheitslücke entdeckt wurde und die möglichen Auswirkungen einer Ausnutzung aufzeigen.
  • Eine detaillierte Beschreibung der Schritte enthalten, die erforderlich sind, um die Schwachstelle zu reproduzieren (Proof-of-Concept-Skripte oder Bildschirmfotos sind hilfreich).
  • Möglichst in englischer Sprache verfasst sind.

Bitte senden Sie Ihre Berichte an cybersecurity@dpdhl.com

Was Sie von uns erwarten können:

Wenn Sie sich dafür entscheiden, uns Ihre Kontaktdaten mitzuteilen, verpflichten wir uns, so offen und so schnell wie möglich mit Ihnen zu kommunizieren.

Wir werden den Eingang Ihrer Meldung bestätigen.

Wir werden Ihnen das Vorhandensein der Schwachstelle nach bestem Wissen und Gewissen bestätigen und so transparent wie möglich darlegen, welche Schritte wir zu ihrer Behebung ergreifen, einschließlich der Probleme oder Herausforderungen, die die Lösung verzögern könnten.

Deutsche Post DHL Group bietet keine Vergütung für die Meldung von Sicherheitslücken.

Melder, die Deutsche Post DHL Group Schwachstellen melden, verzichten damit auf jegliche Entschädigungsansprüche.

Ausdrückliche Zustimmung

Indem Sie uns einen Bericht über eine Sicherheitslücke an cybersecurity@dpdhl.com senden, erklären Sie sich mit den oben genannten Richtlinien einverstanden.

Wenn Sie an der Wall of Fame teilnehmen möchten, fügen Sie bitte die Zeichenfolge "Wall of fame name: " an Ihre E-Mail an und fügen Sie den Namen, der auf der Wall of Fame erscheinen soll, ein. Bitte beachten Sie, dass Sie sich damit einverstanden erklären, dass Deutsche Post DHL Group diese Daten speichert und auf ihrer Website veröffentlicht. Bitte beachten Sie auch, dass wir keine beleidigenden, diskriminierenden, diffamierenden oder anderweitig illegalen Inhalte als Ihren Namen veröffentlichen werden.