Incluse
Droit de retour
Gratuite
Symbole d’une case vide avec une silhouette de véhicule, indique qu’aucun véhicule n’a encore été sélectionné. Symbole d’une case remplie avec une silhouette de véhicule, indique qu’un véhicule a été sélectionné.
Symbole d’un conducteur avec les mains sur le volant – représente le profil du conducteur.
Symbole d’un employé du service client avec casque – représente le service client.

Directive DCV RaceChip GmbH & Co. KG

Si vous avez constaté une ou plusieurs vulnérabilités dans les produits informatiques, les systèmes informatiques ou les services informatiques de RaceChip Chiptuning GmbH & Co. KG, vous pouvez nous contacter en toute confiance. Nous prenons au sérieux toutes les vulnérabilités signalées.

Si des produits informatiques, des systèmes informatiques ou des services informatiques de fabricants ou de chefs de produits extérieurs à notre entreprise sont concernés, vous devez d'abord signaler la vulnérabilité au fabricant ou au chef de produit. S'ils ne répondent pas à votre rapport de vulnérabilité ou s'il existe un risque que le processus DCV soit interrompu, les chercheurs en sécurité peuvent contacter notre société.

Nous nous attendons à ce que les points énumérés dans la politique de divulgation coordonnée des vulnérabilités (DCV) aient été respectés afin que votre rapport de vulnérabilité puisse être transféré à notre processus DCV. Vous pouvez en savoir plus sur la manière dont nous traitons spécifiquement les rapports de vulnérabilité dans le cadre d'un processus de DCV dans nos directives.

Nous vous promettons,

Traiter tout rapport de vulnérabilité de manière confidentielle dans le cadre légal. Ne pas divulguer de données personnelles à des tiers sans votre consentement explicite. Donnez votre avis sur chaque rapport de vulnérabilité effectué. Ne pas prendre de mesures pénales contre vous tant que vous avez respecté la politique et les principes. Cela ne s'applique pas si des intentions criminelles reconnaissables ont été ou sont poursuivies. Être la personne de contact pour l'échange de confiance tout au long du processus. Si vous avez fourni des données personnelles dans le rapport ou dans le formulaire de signalement, veuillez prendre connaissance des informations sur la protection des données.

Nous attendons de vous que vous :

La vulnérabilité trouvée n'a pas été exploitée. Cela signifie qu'aucun dommage n'a été causé au-delà de la vulnérabilité signalée. Aucune attaque (comme l'ingénierie sociale, le spam, les attaques DoS (distribuées) ou « brute force », etc.) n'a été menée contre les systèmes ou infrastructures informatiques. aucune manipulation, compromission ou altération des systèmes ou données de tiers n'a été effectuée ; Aucun outil permettant d'exploiter des vulnérabilités, par exemple sur les marchés du darknet, n'a été proposé gratuitement ou à titre onéreux, que des tiers peuvent utiliser pour commettre des crimes. Le rapport de vulnérabilité n'est pas le résultat d'outils automatisés ou d'analyses sans documentation explicative. Il ne s'agit pas de rapports de vulnérabilité valides. Le rapport de vulnérabilité est une information jusqu'alors inconnue. Pour les vulnérabilités qui ont déjà été corrigées, vos informations seront reçues et examinées, mais elles ne peuvent pas faire l'objet d'un traitement ultérieur dans le cadre du processus DCV. Des coordonnées généralement valables (adresse e-mail) sont enregistrées afin que nous puissions vous contacter en cas de questions. En particulier dans le cas de vulnérabilités complexes, il n'est pas exclu que nous ayons besoin d'explications et de documentation supplémentaires. Comme nous attachons une grande importance à une bonne communication, les rapports de vulnérabilité sans options de communication (par exemple, des coordonnées valides) ne sont traités que dans une mesure limitée. Dans le cas d'un signalement anonyme, il faut tenir compte du fait qu'il n'est pas possible de répondre aux questions techniques et de contenu et que les rapports de vulnérabilité correspondants ne peuvent donc être traités que dans une mesure limitée ou éventuellement ne pas être traités.

Rapports de vulnérabilité par e-mail

Les signaleurs de vulnérabilités qui utilisent leur propre format de rapport (par exemple via PDF ou txt) peuvent envoyer des rapports de vulnérabilité et des demandes de coordination directement à l'adresse e-mail [email protected] envoyer.

Un rapport de vulnérabilité doit être structuré de la manière suivante :

  • Le nom du produit et la version/le numéro de série testé.
  • Une description simple (captures d'écran, photos ou autres illustrations pour une meilleure traçabilité, le cas échéant) qui montre comment la vulnérabilité a été découverte (y compris les outils utilisés).
  • Une attribution de la vulnérabilité au Top 10 de l'OWASP 2021 (voir https://owasp.org/www-project-top-ten). Si aucune des catégories de vulnérabilité ne convient, elle doit être décrite plus en détail comme « Autre ».
  • Doit inclure un code de preuve de concept (PoC) ou des instructions indiquant comment la vulnérabilité peut être exploitée.
  • Inclure une évaluation des risques prenant en compte les conditions techniques pour déterminer la gravité de la vulnérabilité (par exemple, en utilisant une valeur CVSS et la matrice associée - de préférence dans la dernière version).
  • Description de l'impact de la vulnérabilité ou du modèle de menace signalé qui décrit un scénario d'attaque pertinent.