Responsible Disclosure Policy

See below for english version.

Thinking Objects Responsible Disclosure Policy

Die Thinking Objects GmbH geht verantwortungsvoll mit Sicherheitsproblemen um. Verwundbarkeiten in Produkten, die nicht durch die Kunden der Thinking Objects GmbH erstellt wurden oder die durch eine vertragliche Zusatzvereinbarung vor einer Veröffentlichung geschützt sind, werden im Rahmen unseres Prozesses zur Offenlegung von Sicherheitsschwachstellen (Responsible Disclosure) in Form eines sogenannten Security Advisory an den betroffenen Hersteller gemeldet.

Im Security Advisory werden Informationen und Details zur aufgefundenen Schwachstelle genannt, sodass der Hersteller die Verwundbarkeit reproduzieren und untersuchen kann.

Schwachstellen werden nach Auflösung des Herstellers oder spätestens 45 Tagen nachdem sie von der Thinking Objects GmbH gemeldet wurde, veröffentlicht. In begründeten Ausnahmefällen erklären wir uns bereit, vom Standardvorgehen abzuweichen und zusammen mit dem Hersteller einen Zeitplan für die Veröffentlichung der Schwachstelle auszuarbeiten.

Ziel unserer Responsible Disclosure Policy soll es sein, sowohl das Interesse der Öffentlichkeit über Schwachstellen in Produkten informiert zu sein, als auch genügend Zeit für eine Behebung der Schwachstellen zu gewährleisten. Ein Zeitplan für die Veröffentlichung einer Schwachstelle wird hierbei nach bestem Wissen und Gewissen unter Berücksichtigung beider Positionen gewählt.

Hierbei bietet die Thinking Objects GmbH den Herstellern natürlich die Möglichkeit ein Sicherheitsproblem detailliert zu analysieren und mit einem ausführlichen Test eine mögliche Lösung zu überprüfen.


English version

Thinking Objects Responsible Disclosure Policy

Thinking Objects GmbH handles security issues in a responsible way. With a security advisory we report any vulnerabilities in products, which are not related to our customers or otherwise which are excluded from publishing by a terms and conditions, to the corresponding vendor.

This advisory contains information and details about the identified vulnerability so the vendor can reproduce it and then analyse it.

Vulnerabilities will either be published after the vendor solved it or after 45 days from reporting through Thinking Objects GmbH at latest. There might be a justified exception where Thinking Objects GmbH will negotiate a custom publishing schedule with the vendor.

The goal of our Responsible Disclosure Policy is to ensure that the public is informed well about security vulnerabilities on the one hand and to ensure that the vendor has enough time to fix the vulnerability on the other hand. The publishing schedule will be chosen to the best of our knowledge and belief, so both positions are considered.

Before the publication of the advisory, Thinking Objects GmbH will allow the vendor to analyse the vulnerability, solve it and to evaluate the countermeasure through testing thoroughly.