Richtlinie zur verantwortlichen Offenlegung

Bei Salesforce steht Vertrauen an erster Stelle und wir arbeiten mit den Kunden, Partnern und Branchen zusammen, um allen in der Cloud dabei zu helfen, gemeinsam noch stärker zu werden. 

hero image

Übersicht

Unabhängige Sicherheitsforscher spielen bei der Internetsicherheit eine wertvolle Rolle. Daher regen wir dazu an, alle Sicherheitslücken, die auf unserer Site oder in unseren Anwendungen gefunden werden, in verantwortungsvoller Weise zu melden. Salesforce arbeitet weiter engagiert mit Sicherheitsforschern zusammen, um alle gemeldeten potenziellen Sicherheitslücken zu überprüfen und zu beseitigen.

Im Rahmen der verantwortlichen Offenlegung benachrichtigt Salesforce potenziell betroffene Kunden, wenn sie Maßnahmen ergreifen und Sicherheitslücken durch einen Patch oder anderweitig beheben müssen, bevor das Problem öffentlich angezeigt und in der Liste der Common Vulnerabilities and Exposures (CVE®, häufige Schwachstellen und Sicherheitsrisiken) veröffentlicht wird.

Lesen Sie die folgenden Bedingungen, bevor Sie eine Sicherheitslücke testen und/oder melden. Salesforce verpflichtet sich, keine rechtlichen Schritte gegen Forscher einzuleiten, die in unsere Systeme eindringen oder einzudringen versuchen, vorausgesetzt, sie halten sich an diese Richtlinie.

Vielen Dank, liebe Mitwirkende!

Wir wissen Mitwirkende zu schätzen, für die Vertrauen ebenfalls an erster Stelle steht. Sehen Sie sich die Liste der Kunden und Benutzer an, die dabei geholfen haben, den Sicherheitsstatus bei Salesforce insgesamt zu verbessern.

Weitere Informationen zur Richtlinie

  • Sobald eine Test-Edition oder Developer Edition verfügbar ist, führen Sie sämtliche Tests auf Sicherheitslücken an den entsprechenden Instanzen aus. Verwenden Sie zum Testen unserer Onlineservices stets Test- oder Demoaccounts. Weitere Informationen zu sicherheitsbezogenen Bewertungen, Anforderungen, Einschränkungen und der Zeitplanung finden Sie im Artikel zu Schwachstellenbewertung und Penetrationstests.

  • Geben Sie privat ausführliche Informationen zur vermuteten Sicherheitslücke beim Salesforce-Sicherheitsteam an, damit das Problem überprüft und reproduziert werden kann.

  • Wir ermutigen Sie dazu, auf verantwortungsvolle Weise Sicherheitslücken zu ermitteln und uns zu melden, folgende Handlungen sind jedoch ausdrücklich untersagt:

    • Ausführen von Aktionen, die sich negativ auf Salesforce oder seine Benutzer auswirken könnten (z. B. Spam, Brute Force, Denial of Service usw.)
    • Zugreifen auf Daten oder Informationen, die Ihnen nicht gehören, oder der entsprechende Versuch
    • Zerstören oder Beschädigen von Daten oder Informationen, die Ihnen nicht gehören, oder der entsprechende Versuch
    • Ausführen eines physischen oder elektronischen Angriffs auf Salesforce-Mitarbeiter, -Eigentum oder -Datenzentren
    • Social Engineering von Salesforce-Servicedesks, -Mitarbeitern oder -Vertragsnehmern
    • Durchführen von Tests auf Sicherheitslücken an beteiligten Services mit anderen Accounts als Testaccounts (z. B. Instanzen mit Developer Edition oder Test-Edition)
    • Verstoßen gegen Gesetze oder Brechen von Verträgen, um Sicherheitslücken zu finden
  • Wir möchten Sie bitten, ungelöste Sicherheitslücken nicht Dritten mitzuteilen oder öffentlich bekannt zu machen. Wenn Sie eine Sicherheitslücke auf verantwortungsvolle Weise melden, werden das Salesforce-Sicherheitsteam und zugehörige Entwicklungsorganisationen angemessene Anstrengungen unternehmen, um:

    • zeitnah zu antworten und den Empfang der Meldung der Sicherheitslücke zu bestätigen.
    • einen ungefähren Zeitrahmen zur Beseitigung der gemeldeten Sicherheitslücke anzugeben.
    • Sie zu benachrichtigen, wenn die Sicherheitslücke behoben wurde.

Sicherheitsproblem melden

Als einer der führenden Software-as-a-Service- und Platform-as-a-Service-Anbieter ist Salesforce bestrebt, Standards zum Schutz unserer Umgebung und der Daten von Kunden zu setzen. Seien Sie unser Partner, indem Sie Sicherheitsprobleme melden.