Disclosure Policy Verantwortlicher

FENDI betrachtet seine Systeme und insbesondere die personenbezogenen Daten als fundamentale Vermögenswerte für das Unternehmen, deren Sicherheit und Vertraulichkeit ein wesentlicher Faktor für das Vertrauen der Kunden ist.


Trotz der strengen Berücksichtigung von Sicherheitsaspekten können einige Schwachstellen bei öffentlichen Veröffentlichungen unentdeckt bleiben oder neue Schwachstellen auftreten.


Wenn Sie eine Schwachstelle im Zusammenhang mit FENDI-Domains entdeckt haben und diese mit uns teilen möchten, bitten wir Sie im Sinne einer verantwortungsvollen Offenlegung, die Schwachstelle zu melden, indem Sie diese Richtlinie zur „Responsible Disclosure“ befolgen.


Insbesondere:


  • Die Meldung muss in nicht-anonymer Form erfolgen, wobei nur die unter dem folgenden Link angegebenen Informationen verwendet werden dürfen, und sie muss die wichtigsten Informationen enthalten, die es uns ermöglichen, die Schwachstelle, die Sie uns mitteilen möchten, zu identifizieren und zu reproduzieren;
  • Die entdeckten Schwachstellen streng vertraulich und geheim zu halten und sich zu verpflichten, diese nicht zu offenbaren oder Dritten zugänglich zu machen, bis FENDI die Anwendung der entsprechenden Gegenmaßnahmen mitgeteilt hat, und in jedem Fall nach Mitteilung der Inhalte, die sie offenlegen wollen, als gegenseitigen Schutz, um die ungewollte Verbreitung von Unternehmensinformationen zu vermeiden, die nicht mit der Schwachstelle in Verbindung stehen und die vertraulich bleiben müssen;
  • Im Falle einer juristischen Person (öffentlich oder privat), einer Körperschaft, eines Konsortiums oder einer anderen Form der Vereinigung verpflichtet sich die Person, die den Bericht sendet, den Zugang zu den Informationen über die festgestellten Schwachstellen auf ihre eigenen Mitarbeiter und auf das für ihre eigene Tätigkeit unbedingt erforderliche Maß zu beschränken, wobei sie in jedem Fall alle geeigneten und angemessenen Maßnahmen ergreift, um die Vertraulichkeit und die vorgenannten Beschränkungen des Zugangs und der Verwendung der Informationen über die festgestellten Schwachstellen zu gewährleisten.
  • Mit dem FENDI Sicherheitsteam und den beteiligten Arbeitskreisen zusammenarbeiten;
  • Alle Aktivitäten zu unterlassen, die zu einer Verletzung, einem Verlust und/oder einer Zerstörung von Daten im Zusammenhang mit den Systemen und Diensten, die an der Berichterstattung beteiligt sind, sowie zu einer Beeinträchtigung oder Unterbrechung der Dienste führen könnten. In diesem Sinne ist es ausdrücklich untersagt:
    • Auf die Daten zuzugreifen, bzw. diese zu ändern oder herunterzuladen;
    •  Aktionen durchzuführen, die „Denial of Service Attacke“ ähneln und den Betrieb von Vermögens- oder Betriebsmitteln von FENDI beeinträchtigen können;
    • Bösartige Codes unter Missbrauch der FENDI-Systeme hochzuladen, zu verlinken oder auszuführen;
    • Tests durchzuführen, deren Wirkung darin besteht, unerwünschte Nachrichten, Spam oder andere Formen von nicht autorisierten Nachrichten zu versenden.

Sobald die Meldung eingegangen ist, wird FENDI alle erforderlichen Maßnahmen ergreifen, um:


  •  Innerhalb von 20 Tagen eine Rückmeldung über die Relevanz des Berichts in Bezug auf die Responsible Disclosure-Richtlinie und das Ergebnis der von FENDI durchgeführten vorläufigen Analyse zu übermitteln;
  • Die Meldung vertraulich zu behandeln, außer zur Erfüllung gesetzlicher Verpflichtungen und/oder behördlicher Anordnungen.

FENDI berücksichtigt den Zeitraum der Vertraulichkeit der Informationen bis zur Behebung der Schwachstelle und der daraus resultierenden Information an die Person, die den Bericht gesendet hat.


Meldungen, die sich auf die folgenden Fälle beziehen, sind von dieser Responsible Disclosure-Richtlinie ausgeschlossen und werden ohne Rückmeldung abgelehnt:


  • Ergebnisse von automatisierten Tools von Vulnerability Assessment / Penetration Testing / Information Gathering
  • Ergebnisse von Denial of Service (DoS)-Attacken, bei denen sich FENDI das Recht vorbehält, die erforderlichen Maßnahmen zu ergreifen;
  • Ergebnisse von Auswertungen, die durch spezialisierte Seiten durchgeführt wurden;
  • Fehler im Zusammenhang mit dem User Interface oder der User Experience, die keine Sicherheitslücke darstellen (z. B. Tippfehler, Seitenformatfehler);
  • Umfragen auf Domains, die nicht direkt von FENDI verwaltet werden oder in jedem Fall nicht zu dem oben genannten Perimeter gehören, für den die Richtlinie gilt;
  • Alle nicht sicherheitsrelevanten Berichte und die Responsible Disclosure-Richtlinie.

 


Fendi verarbeitet die persönlichen Kontaktdaten des Meldenden (Name, E-Mail und optional eine Telefonnummer) ausschließlich zu dem Zweck, die Weiterverfolgung der Meldung zu verwalten und die notwendigen Maßnahmen in Bezug auf die gemeldete Schwachstelle zu ergreifen. Die personenbezogenen Daten des Meldenden können an die zuständigen Behörden und an Drittunternehmen weitergegeben werden, die für uns Ermittlungsdienste in Bezug auf die gemeldete Schwachstelle erbringen.


Fendi bedankt sich für alle Meldungen, stellt aber klar, dass es keine Vergütungen (monetär oder anderweitig) für Meldungen und in Bezug auf identifizierte oder vermutete Schwachstellen gewährt.


Fendi behält sich das Recht vor, Berichte, die nicht den Anforderungen dieser Richtlinie zur verantwortungsvollen Offenlegung entsprechen, nicht zu berücksichtigen.  


FENDI behält sich das Recht vor, die oben beschriebene Responsible Disclosure-Richtlinie jederzeit zu aktualisieren.