INCLUIDA
DEVO-
LUCIÓN
ENVÍO GRATIS
Símbolo de una casilla vacía con la silueta de un vehículo, indica que aún no se ha seleccionado ningún vehículo. Símbolo de una casilla seleccionada con la silueta de un vehículo, indica que se ha seleccionado un vehículo.
Símbolo de un conductor con las manos en el volante – representa el perfil del conductor.
Símbolo de un empleado del servicio de atención al cliente con auriculares – representa el servicio de atención al cliente.

Directriz DCV RaceChip GmbH & Co. KG

Si tiene conocimiento de una o más vulnerabilidades en los productos informáticos, sistemas informáticos o servicios informáticos de RaceChip Chiptuning GmbH & Co. KG, puede ponerse en contacto con nosotros de forma segura. Nos tomamos muy en serio todas las vulnerabilidades reportadas.

Si los productos, sistemas de TI o servicios de TI de fabricantes o gerentes de productos externos a nuestra empresa se ven afectados, primero debe informar la vulnerabilidad al fabricante o gerente de producto. Si no responden a su informe de vulnerabilidad o si existe el riesgo de que se interrumpa el proceso de DCV, los investigadores de seguridad pueden comunicarse con nuestra empresa.

Esperamos que se hayan cumplido los puntos enumerados en la política de divulgación coordinada de vulnerabilidades (CVD) para que el informe de vulnerabilidad pueda transferirse a nuestro proceso de VCD. Para obtener más información sobre cómo abordamos específicamente los informes de vulnerabilidad como parte de un proceso de DCV, consulte nuestras pautas.

Prometer

Tratar cualquier informe de vulnerabilidad de forma confidencial de acuerdo con el marco legal. No divulgue datos personales a terceros sin su consentimiento explícito. Proporcione comentarios sobre cada informe de vulnerabilidad realizado. No emprenda acciones penales en su contra siempre que haya cumplido con la política y los principios. Esto no se aplica si la intención delictiva reconocible ha sido o está siendo procesada. Ser la persona de contacto para el intercambio de confianza durante todo el proceso. Si ha proporcionado datos personales en el informe o en el formulario de informe, lea la política de protección de datos.

Esperamos que sea:

La vulnerabilidad encontrada no fue explotada. Esto significa que no se hizo ningún daño más allá de la vulnerabilidad reportada. No se llevaron a cabo ataques (como ingeniería social, spam, DoS (distribuido) o ataques de fuerza bruta, etc.) contra sistemas o infraestructura de TI. no se ha llevado a cabo ninguna manipulación, compromiso o alteración de sistemas o datos de terceros; No se han ofrecido herramientas para explotar vulnerabilidades, por ejemplo en los mercados de la darknet, de forma gratuita o de pago, que terceros puedan utilizar para cometer delitos. El informe de vulnerabilidad no es el resultado de herramientas automatizadas o escaneos sin documentación explicativa. Estos no son informes de vulnerabilidad válidos. El informe de vulnerabilidad consta de información previamente desconocida. Para las vulnerabilidades que ya han sido parcheadas, su información será recibida y revisada, pero no se puede procesar más como parte del proceso DCV.

Por lo general, los datos de contacto válidos (dirección de correo electrónico) se almacenan para que podamos ponernos en contacto con usted si tiene alguna pregunta. Especialmente en el caso de vulnerabilidades complejas, no se excluye que necesitemos más explicaciones y documentación. Dado que damos gran importancia a una buena comunicación, los informes de vulnerabilidad sin opciones de comunicación (por ejemplo, información de contacto válida) solo se procesan de forma limitada. En el caso de una denuncia anónima, hay que tener en cuenta que no se pueden responder a preguntas técnicas y de contenido y que, por lo tanto, los correspondientes informes de vulnerabilidad sólo pueden ser tratados de forma limitada o posiblemente no procesados.

Informes de vulnerabilidad de correo electrónico

Los informantes de vulnerabilidades que utilizan su propio formato de informe (por ejemplo, a través de PDF o txt) pueden enviar informes de vulnerabilidad y solicitudes de coordinación directamente a su dirección de correo electrónico [email protected] enviar.

Un informe de vulnerabilidad debe estructurarse de la siguiente manera:

  • El nombre del producto y la versión/número de serie probados.
  • Una descripción simple (capturas de pantalla, fotos u otras ilustraciones para una mejor trazabilidad, si corresponde) que muestre cómo se descubrió la vulnerabilidad (incluidas las herramientas utilizadas).
  • Atribución de vulnerabilidades al Top 10 de OWASP de 2021 (ver https://owasp.org/www-project-top-ten). Si ninguna de las categorías de vulnerabilidad es adecuada, debe describirse con más detalle como "Otro".
  • Debe incluir código de prueba de concepto (PoC) o instrucciones sobre cómo aprovechar la vulnerabilidad.
  • Incluya una evaluación de riesgos que tenga en cuenta las condiciones técnicas para determinar la gravedad de la vulnerabilidad (por ejemplo, utilizando un valor CVSS y la matriz asociada, preferiblemente en la última versión).
  • Una descripción del impacto de la vulnerabilidad o el patrón de amenaza notificado que describe un escenario de ataque relevante.