Zum Hauptinhalt springen
Zurück zu Five9.com

Call Center Vulnerability Disclosure Program & Platform

Was ist VDP, das Programm zur Aufdeckung von Schwachstellen?

Der Schutz der Sicherheit und Integrität der Five9-Plattform ist für den von uns angebotenen Service entscheidend. So haben wir uns verpflichtet, ein zu jedem Zeitpunkt sicheres Produkt anzubieten. Wir schätzen die Erkenntnisse, welche die Community im Bereich der Sicherheitsforschung häufig bereitstellt. Gleichzeitig erkennt Five9 an, dass die Entwicklung einer engen Beziehung mit der Community zur Verbesserung unserer eigenen Sicherheit beitragen wird.

If you have discovered or believe you have discovered potential security vulnerabilities within Five9 services, we urge you to disclose your discovery to us in accordance with this Responsible Disclosure Program. Please be aware that this program has no monetary awards.

Bild
Was ist VDP, das Programm zur Aufdeckung von Schwachstellen?

Wo soll ich anfangen?

Aufdecken von Sicherheitslücken

We encourage responsible security research on the Five9 services and products. Upon prior written approval we permit you to conduct vulnerability research and testing on the Five9 Services to which you have authorized access. Requests are to be sent to privacy@five9.com.

In keinem Fall werden Ihre Untersuchungen und Tests Folgendes umfassen:

  1. Zugriff auf Konten oder Daten, die nicht Ihnen oder Ihren autorisierten Benutzern gehören, oder der Versuch eines solchen Zugriffs
  2. Versuche, Daten zu verändern oder zu vernichten
  3. Ausführung oder Versuch der Ausführung eines Denial-of-Service-Angriffs
  4. Versenden oder Versuchen des Versendens von unaufgeforderten oder unerlaubten E-Mails, Spam oder anderen Formen von unaufgeforderten Nachrichten an Mitarbeiter oder Auftragnehmer von Five9
  5. Testen von Websites, Anwendungen oder Diensten Dritter, die in die Five9-Dienste integriert sind
  6. Posten, Übertragen, Hochladen, Verlinken, Versenden oder Speichern von Malware, Viren oder ähnlicher schädlicher Software oder sonstige Versuche, die Five9-Dienste zu unterbrechen oder zu beeinträchtigen
  7. Jegliche Aktivität, die gegen geltendes Recht verstößt, oder die Verletzung von Vereinbarungen

Nicht zu meldende Probleme

  1. Offenlegung von bekannten öffentlichen Dateien oder Verzeichnissen (z. B. robots.txt)
  2. Banneroffenlegung für allgemeine/öffentliche Dienste
  3. Konfigurationsvorschläge für HTTP/HTTPS/SSL/TLS-Sicherheitsheader
  4. Fehlen von Secure/HTTPOnly-Kennzeichnungen bei nicht sensiblen Cookies
  5. Phishing oder Social-Engineering-Techniken
  6. Vorliegen von „Autovervollständigungs“- oder „Passwort speichern“-Vorgängen in Anwendungen/Webbrowsern
  7. Konfigurationsvorschläge für das Sender Policy Framework (SPF)
  8. DMARC-Konfigurationen
  9. Clickjacking / UI Redressing

Meldung von Sicherheitslücken

Sie glauben, eine Sicherheitslücke entdeckt zu haben? Dann teilen Sie Five9 bitte die Einzelheiten mit, indem Sie das untenstehende Formular ausfüllen. Dies gilt, sofern Sie die schriftliche Genehmigung von Five9 zur Durchführung der Untersuchung erhalten haben.

Safe Harbor

Wenn im Sinne dieser Richtlinie eine entsprechende Schwachstellenrecherche betrieben wird, betrachten wir diese Recherche wie folgt:

  • In Übereinstimmung mit dem Computer Fraud and Abuse Act (CFAA) (und/oder ähnlichen staatlichen Gesetzen) autorisiert; wir werden keine rechtlichen Schritte wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie gegen Sie einleiten oder unterstützen.
  • Ausgenommen vom Digital Millennium Copyright Act (DMCA); wir werden Sie nicht wegen Umgehung von Technologieschutzmaßnahmen belangen.
  • Ausgenommen von den Beschränkungen in unseren Allgemeinen Geschäftsbedingungen, die die Durchführung von Sicherheitsrecherchen behindern würden; in begrenztem Umfang verzichten wir auf diese Beschränkungen für Arbeiten, die im Rahmen dieser Richtlinie durchgeführt werden.
  • Rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.
  • Es wird erwartet, dass Sie sich wie immer an alle geltenden Gesetze halten.

If at any time you have concerns or are uncertain whether your security research is consistent with this policy, please inquire via support@bugcrowd.com before going any further.

Verpflichtung des Sicherheitsteams von Five9

Bitte haben Sie Verständnis dafür, dass Ihre Recherche als vertrauliche Information von Five9 angesehen wird und jegliche Veröffentlichung, Vervielfältigung oder sonstige Weitergabe der Recherche ohne vorherige schriftliche Zustimmung von Five9 ausdrücklich untersagt ist. Wenn Sie eine Schwachstelle melden, werden das Five9-Sicherheitsteam und die zugehörigen Entwicklungsorganisationen angemessene Anstrengungen unternehmen, um Folgendes zu gewährleisten:

  1. Rechtzeitige Antwort und Bestätigung des Empfangs Ihrer Schwachstellenmeldung
  2. Angabe eines voraussichtlichen Zeitrahmens für die Bearbeitung des Schwachstellenberichts
  3. Benachrichtigung, wenn die Sicherheitslücke behoben wurde

Schwachstelle oder Fehler melden