Visa-Programm zur Offenlegung von Schwachstellen

Cybersicherheit ist für Visa von entscheidender Bedeutung, und wir möchten den Austausch von Informationen über potenzielle Schwachstellen erleichtern, Regeln für Schwachstellen-Tests festlegen und Personen, die diese Regeln befolgen, einen Safe Harbor bieten.

Einführung

Bei Visa gehört Cybersicherheit zu unseren zentralen Werten. Wir möchten von Ihnen hören, wenn Sie Informationen zu potenziellen Sicherheitsschwachstellen in Produkten, Dienstleistungen, Websites oder Anwendungen von Visa haben. Wir haben dieses Programm zur Offenlegung von Schwachstellen eingerichtet, um unseren Informationsaustausch über potenzielle Schwachstellen zu erleichtern, Regeln für Schwachstellen-Tests festzulegen und Personen, die diese Regeln befolgen, einen Safe Harbor zu bieten.

Erwartungen

Wenn Sie uns Schwachstellen melden, dürfen Sie Folgendes erwarten:

  • Ein Safe Harbor für Schwachstellenberichte, die gemäß unseren Programmregeln eingereicht werden, wird auf Sie ausgeweitet
  • Wir arbeiten mit Ihnen zusammen, um Ihren Bericht zu verstehen und zu validieren, einschließlich einer zeitnahen ersten Antwort auf die Einreichung
  • Wir sorgen dafür, dass aufgedeckte Schwachstellen auf angemessene Weise behoben werden

Programmregeln

Bitte beachten Sie, dass dieses Programm nicht als Ermutigung oder Erlaubnis ausgelegt werden darf, Anwendungen, Systeme oder Daten von Visa zu hacken, sich in seine Systeme einzuschleusen oder anderweitig zu versuchen, unbefugten Zugriff auf diese zu erlangen. Um Verwechslungen zwischen gutgläubiger Berichterstattung und einem böswilligen Angriff zu vermeiden, bitten wir Sie um Folgendes:

  • Melden Sie jede vermutete oder bestätigte Schwachstelle, die Sie entdeckt haben, umgehend
  • Verletzen Sie nicht die Privatsphäre anderer, stören Sie nicht unsere Systeme, zerstören Sie keine Daten und/oder beeinträchtigen Sie nicht die Benutzererfahrung
  • Führen Sie kein Social Engineering durch (z. B. Phishing, Vishing, Smishing)
  • Wenn eine Schwachstelle einen unbeabsichtigten Zugriff auf Daten bietet: Beenden Sie den Test und reichen Sie sofort einen Bericht ein (z. B. wenn Sie während des Tests auf Benutzerdaten wie personenbezogene Daten, Kreditkartendaten oder geschützte Informationen stoßen). Sie sind nicht berechtigt, auf Visa-Daten zuzugreifen
  • Räumen Sie uns einen angemessenen Zeitraum zur Behebung von Schwachstellen ein
  • Behandeln Sie die Details aller entdeckten Schwachstellen vertraulich
  • Leiten Sie keine unbefugten Finanztransaktionen ein
  • Interagieren Sie mit Konten, für die Sie zuständig sind, nur mit ausdrücklicher Genehmigung des Kontoinhabers
  • Verletzen Sie keine nationalen, staatlichen oder lokalen Gesetze oder Vorschriften

Safe Harbor

Testaktivitäten, die in Übereinstimmung mit diesem Programm durchgeführt werden, sind durch einen Safe Harbor geschützt, was bedeutet, dass wir keine rechtlichen Schritte gegen Sie einleiten werden. Wenn ein Dritter im Zusammenhang mit Aktivitäten, die gemäß unseren Regeln durchgeführt werden, rechtliche Schritte gegen Sie einleitet, werden wir Maßnahmen ergreifen, um darauf hinzuweisen, dass Ihre Handlungen in Übereinstimmung mit dem Schwachstellen-Offenlegungsprogramm von Visa durchgeführt wurden.

Bei der Umsetzung dieses Programms verzichtet Visa durch die Nichtausübung (oder Verzögerung der Ausübung) von Rechten, die Visa möglicherweise hat, nicht auf solche Rechte. Wenn Sie gegen die Regeln verstoßen, behält Visa außerdem alle Rechte und sonstigen Rechtsmittel, die ihm nach Gesetz oder Billigkeitsrecht zur Verfügung stehen, einschließlich der Rechte, Unterlassungsansprüche, spezifische Leistungen oder andere billigkeitsrechtliche Rechtsbehelfe zu beantragen.

Vielen Dank, dass Sie uns dabei helfen, für die Sicherheit von Visa-Kunden und -Daten zu sorgen. Bitte reichen Sie einen Bericht bei uns ein, bevor Sie Schritte ergreifen, die möglicherweise nicht unseren Regeln folgen.
 

Eine Schwachstelle melden

Visa verwendet HackerOne, um verantwortungsvoll offengelegte Schwachstellenberichte zu prüfen und zu validieren. Bitte reichen Sie Ihren Bericht ein.