Einleitung
Bei Criteo steht die Sicherheit unserer Produkte und Dienstleistungen an oberster Stelle. Unser Ziel ist es, unseren Kunden und User die bestmögliche Erfahrung zu bieten und sicherzustellen, dass die uns anvertrauten Informationen und Daten geschützt sind. Aus diesem Grund setzen wir auch auf die verantwortungsvolle und ethische Offenlegung potenzieller Sicherheitslücken durch Sicherheitsforscher und die Öffentlichkeit. Diese Richtlinie legt unsere Erwartungen an die verantwortungsvolle Meldung von Schwachstellen sowie den Ablauf der Bearbeitung fest.
Autorisierung
Wenn ihr euch im Rahmen eurer Forschung an diese Richtlinie haltet, betrachtet Criteo eure Handlungen als autorisiert und wird keine rechtlichen Schritte gegen euch einleiten.
Unsere Verpflichtungen
Wenn ihr uns ein Problem gemäß dieser Richtlinie meldet, könnt ihr Folgendes von uns erwarten:
Wir reagieren innerhalb von 3 Werktagen auf euren Report und arbeiten mit euch zusammen, um das Problem zu verstehen und zu beheben.
Wir ergreifen so schnell wie möglich Maßnahmen, um die Schwachstellen, die im Report gemeldet wurden, zu beheben – sofern es sich nicht um ein von uns akzeptiertes Risiko handelt.
Wir halten euch über unsere Fortschritte bei der Behebung des Problems auf dem Laufenden.
Wir behandeln Informationen über euch und die von euch gemeldete Schwachstelle vertraulich, sofern keine anderweitige Vereinbarung mit euch besteht.
Wir vergüten euer Engagement gemäß den Angaben im Abschnitt zur Vergütung.
Richtlinien
Damit eure Forschung im Rahmen dieser Richtlinie als autorisierte Aktivität gilt, müsst ihr folgende Bedingungen erfüllen:
Handelt in gutem Glauben und vermeidet die missbräuchliche, für Criteo und/oder unsere Kunden schädliche Nutzung der Systeme und Anwendungen.
Bitte benachrichtigt uns, sobald ihr ein tatsächliches oder potenzielles Sicherheitsproblem entdeckt.
Veröffentlicht das Problem erst, nachdem wir eine Lösung implementiert haben und auf Basis einer gegenseitigen Vereinbarung. Diese Vereinbarung regelt den Zeitpunkt der Offenlegung sowie den Detailgrad der dabei bereitgestellten Informationen.
Folgendes ist euch untersagt:
Das Abrufen, Ändern oder Löschen von Daten aus Accounts, die ihr nicht selbst erstellt habt.
Der Einsatz hochintensiver, invasiver oder zerstörerischer Werkzeuge.
Das Einreichen einer großen Anzahl minderwertiger Reports (z. B. indem ihr lediglich die Ergebnisse von Scannern bereitstellt).
Die Verwendung einer oder mehrerer der folgenden Testmethoden:
Netzwerk-Denial-of-Service (DoS- oder DDoS)-Tests oder andere Tests, die den Zugriff auf ein System oder Daten beeinträchtigen oder beschädigen.
Physische Tests (z. B. Bürozugang, offene Türen, Tailgating).
Social Engineering (z. B. Phishing, Vishing) oder jede andere nicht-technische Schwachstellenprüfung.
Die Weitergabe euer Ergebnisse an externe Parteien ohne vorherige schriftliche Genehmigung von Criteo.
Ausnutzen eines Exploits, um Daten zu kompromittieren oder zu exfiltrieren, einen dauerhaften Kommandozeilen-Zugang einzurichten oder um weitere Systems zu infiltrieren. Exploits sollten nur in dem Maße verwendet werden, wie es nötig ist, das Vorhandensein einer Schwachstelle zu bestätigen. Wenn ihr Zweifel habt, erstellt bitte einen Report, damit wir das Problem bestätigen können.
Sobald ihr festgestellt habt, dass eine Schwachstelle existiert oder ihr auf sensible Daten stoßt (einschließlich PII, finanzieller Informationen oder proprietärer Informationen beziehungsweise Geschäftsgeheimnissen irgendeiner Partei), seid ihr verpflichtet, euren Test sofort beenden und uns unverzüglich benachrichtigen. Unter keinen Umständen dürft ihr diese Daten und Informationen an Dritte weitergeben.
Gültigkeitsbereich
Diese Richtlinie gilt für alle digitalen Assets, die Criteo gehören, bzw. von Criteo betrieben oder gewartet werden. Ausgenommen sind externe Dienste, die über eine unserer Subdomains zugänglich sind oder in eines unserer Produkte integriert wurden.
Detaillierte und aktuelle Informationen zum Gültigkeitsbereich findet ihr in unserer BugCrowd-Richtlinie.
Prämien
Criteo kann allen, die Sicherheitsprobleme verantwortungsbewusst und ethisch an uns melden, Anerkennung und Prämien zukommen lassen – vorausgesetzt, sie halten diese Richtlinie ein. Die Höhe der Prämie, falls eine gewährt wird, richtet sich nach unserem Ermessen anhand verschiedener Parameter, unter anderem der Schwere der Schwachstelle, deren Auswirkungen und der Qualität des Reports.
Im Allgemeinen variiert die Prämie von 175 USD für Schwachstellen mit geringer Auswirkung bis zu 4500 USD für die extrem kritische Probleme.
Bitte beachtet, dass alle Prämien über unser privates Programm auf BugCrowd abgewickelt werden. Um eine Prämie zu erhalten, benötigt ihr einen BugCrowd Account.
Eine Schwachstelle melden
Criteo zahlt Bug-Bounty-Prämien ausschließlich über BugCrowd aus. Um eine potenzielle Sicherheitslücke zu melden, erstellt ihr bitte einen Report auf dieser Plattform, der eine detaillierte Beschreibung enthält und die Schritte aufführt, mit denen wir eure Ergebnisse reproduzieren können.
Solltet ihr aktuell nicht an unserem internen Bug-Bounty-Programms teilnehmen, schickt bitte eine E-Mail mit eurem BugCrowd-Handle an security@criteo.com; wenn ihr unsere Zulassungskriterien erfüllt, senden wir euch eine Einladung.
Um eine potenzielle Sicherheitslücke zu melden, könnt ihr auch eine E-Mail an security@criteo.com senden, die eine detaillierte Beschreibung des potenziellen Problems enthält und die Schritte aufführt, mit denen wir eure Ergebnisse reproduzieren können.
Kunden
Wenn ihr Criteo-Kunde seid, beachtet bitte, dass wir neben unserem Bug-Bounty-Programm auch regelmäßige Penetrationstests durchführen – deren Ergebnisse ihr bei eurem Criteo-Ansprechpartner anfordern könnt.
Fragen
Wenn ihr Fragen zu dieser Richtlinie oder zur Informationssicherheit bei Criteo habt, kontaktiert uns bitte unter security@criteo.com.
Vielen Dank für eure Bemühungen um die Sicherheit bei Criteo. Wir schätzen eure Unterstützung dabei, unsere Produkte und Dienstleistungen noch sicherer zu machen.
