Programm von Visa zur Offenlegung von Schwachstellen

Cybersicherheit ist für Visa von entscheidender Bedeutung, und wir möchten den Austausch von Informationen über potenzielle Schwachstellen erleichtern, Vorschriften für Schwachstellen-Tests festlegen und Personen, die diese Vorschriften befolgen, einen Safe Harbor bieten.

Einführung

Bei Visa gehört Cybersicherheit zu unseren zentralen Werten. Wir möchten von Ihnen hören, wenn Sie Informationen zu potenziellen Sicherheitsschwachstellen in Produkten, Dienstleistungen, Websites oder Anwendungen von Visa haben. Wir haben dieses Programm zur Offenlegung von Schwachstellen eingerichtet, um unseren Informationsaustausch über potenzielle Schwachstellen zu erleichtern, Vorschriften für Schwachstellen-Tests festzulegen und Personen, die diese Vorschriften befolgen, einen Safe Harbor zu bieten.

Erwartungen

Wenn Sie uns Schwachstellen melden, dürfen Sie Folgendes erwarten:

  • Ein Safe Harbor für Schwachstellenberichte, die gemäss unseren Programmvorschriften eingereicht werden, wird auf Sie ausgeweitet
  • Wir arbeiten mit Ihnen zusammen, um Ihren Bericht zu verstehen und zu validieren, einschliesslich einer zeitnahen ersten Antwort auf die Einreichung
  • Wir sorgen dafür, dass entdeckte Schwachstellen auf angemessene Weise behoben werden

Programmvorschriften

Bitte beachten Sie, dass dieses Programm nicht als Ermutigung oder Erlaubnis ausgelegt werden darf, Anwendungen, Systeme oder Daten von Visa zu hacken, zu durchdringen oder anderweitig zu versuchen, unbefugten Zugriff auf diese zu erlangen. Um Verwechslungen zwischen gutgläubiger Berichterstattung und einem böswilligen Angriff zu vermeiden, bitten wir Sie um Folgendes:

  • Melden Sie jede vermutete oder bestätigte Schwachstelle, die Sie entdeckt haben, umgehend
  • Verletzen Sie nicht die Privatsphäre anderer, stören Sie nicht unsere Systeme, zerstören Sie keine Daten und/oder schädigen Sie nicht die Benutzererfahrung
  • Führen Sie kein Social Engineering durch (z. B. Phishing, Vishing, Smishing)
  • Wenn eine Schwachstelle einen unbeabsichtigten Zugriff auf Daten bietet: Beenden Sie den Test und reichen Sie sofort einen Bericht ein (z. B. wenn Sie während des Tests auf Benutzerdaten wie personenbezogene Daten, Kreditkartendaten oder geschützte Informationen stossen). Sie sind nicht berechtigt, auf Visa Daten zuzugreifen
  • Räumen Sie uns einen angemessenen Zeitraum zur Behebung von Schwachstellen ein
  • Behandeln Sie die Details aller entdeckten Schwachstellen vertraulich
  • Leiten Sie keine unbefugten Finanztransaktionen ein
  • Interagieren Sie mit Konten, für die Sie zuständig sind, oder mit ausdrücklicher Genehmigung des Kontoinhabers
  • Verletzen Sie keine nationalen, staatlichen oder lokalen Gesetze oder Vorschriften

Safe Harbor

Testaktivitäten, die in Übereinstimmung mit diesem Programm durchgeführt werden, sind durch Safe Harbor geschützt, was bedeutet, dass wir keine rechtlichen Schritte gegen Sie einleiten werden. Wenn ein Drittanbieter im Zusammenhang mit Aktivitäten, die gemäss unseren Vorschriften durchgeführt werden, rechtliche Schritte gegen Sie einleitet, werden wir Massnahmen ergreifen, um darauf hinzuweisen, dass Ihre Handlungen in Übereinstimmung mit dem Schwachstellen-Offenlegungsprogramm von Visa durchgeführt wurden.

Bei der Umsetzung dieses Programms verzichtet Visa nicht auf Rechte, die Visa möglicherweise durch die Nichtausübung (oder Verzögerung der Ausübung) solcher Rechte hat. Wenn Sie gegen die Vorschriften verstossen, behält Visa ausserdem alle Rechte und sonstigen Rechtsmittel, die ihm nach Gesetz oder Billigkeitsrecht zur Verfügung stehen, einschliesslich der Rechte, Unterlassungsansprüche, spezifische Leistungen oder andere billigkeitsrechtliche Rechtsbehelfe zu beantragen.

Vielen Dank, dass Sie uns dabei helfen, für die Sicherheit von Visa-Kunden und Daten zu sorgen. Bitte reichen Sie einen Bericht bei uns ein, bevor Sie Schritte ergreifen, die möglicherweise nicht mit unseren Vorschriften konform sind.
 

Eine Schwachstelle melden

Visa verwendet HackerOne, um verantwortungsvoll offengelegte Schwachstellenberichte zu prüfen und zu validieren. Bitte reichen Sie Ihren Bericht ein.