Salesforce Trust

Richtlinie zur verantwortlichen Offenlegung

Bei Salesforce steht Vertrauen an erster Stelle und der Schutz der Daten unserer Kunden ist uns sehr wichtig.

Das Salesforce-Sicherheitsteam ist sich der wichtigen Rolle bewusst, die unabhängige Sicherheitsforscher im Bereich der Internet-Sicherheit spielen. Daher regen wir dazu an, alle Sicherheitslücken, die auf unserer Site oder in unseren Anwendungen gefunden werden, in verantwortungsvoller Weise zu melden. Salesforce arbeitet engagiert mit Sicherheitsforschern zusammen, um alle gemeldeten potenziellen Sicherheitslücken zu überprüfen und zu beseitigen.

Lesen Sie die folgenden Bedingungen, bevor Sie eine Sicherheitslücke testen und/oder melden. Salesforce verpflichtet sich, keine rechtlichen Schritte gegen Forscher einzuleiten, die in unsere Systeme eindringen oder versuchen, einzudringen – vorausgesetzt, sie halten sich an diese Richtlinie.

Testen auf Sicherheitslücken:

Sobald eine Test- oder Developer Edition verfügbar ist, führen Sie sämtliche Tests auf Sicherheitslücken an den entsprechenden Instanzen durch. Verwenden Sie zum Testen unserer Onlineservices stets Test- oder Demo-Accounts.

Weitere Informationen zu sicherheitsbezogenen Bewertungen, Anforderungen, Einschränkungen und der Zeitplanung finden Sie im Knowledge-Artikel mit dem Titel "Vulnerability Assessment and Penetration Test".

Melden einer potenziellen Sicherheitslücke:

  • Teilen Sie Salesforce Details zur vermuteten Sicherheitslücke privat mit, indem Sie eine E-Mail an security@salesforce.com senden.
  • Geben Sie ausführliche Informationen zur vermuteten Sicherheitslücke an, damit das Salesforce-Sicherheitsteam das Problem überprüfen und reproduzieren kann.

Salesforce gestattet folgende Arten von Sicherheitsforschung nicht:

Wir ermutigen Sie dazu, auf verantwortungsvolle Weise Sicherheitslücken zu ermitteln und uns zu melden. Folgende Handlungen sind jedoch ausdrücklich untersagt:

  • Durchführen von Aktionen, die sich negativ auf Salesforce oder seine Benutzer auswirken könnten (z. B. Spam, Brute Force, Denial of Service…)
  • Zugreifen auf Daten oder Informationen, die Ihnen nicht gehören, oder der entsprechende Versuch
  • Zerstören oder Beschädigen von Daten oder Informationen, die Ihnen nicht gehören, oder der entsprechende Versuch
  • Ausführen eines physischen oder elektronischen Angriffs auf Salesforce-Mitarbeiter, -Eigentum oder -Datenzentren
  • Social Engineering von Salesforce-Servicedesks, -Mitarbeitern oder -Vertragsnehmern
  • Durchführen von Tests auf Sicherheitslücken an beteiligten Services mit anderen Accounts als Test-Accounts (z. B. Instanzen mit Developer Edition oder Test Edition)
  • Verstoßen gegen Gesetze oder Brechen von Verträgen, um Sicherheitslücken zu finden

Verpflichtung des Salesforce-Sicherheitsteams

Wir bitten Sie, ungelöste Sicherheitslücken Dritten nicht mitzuteilen oder öffentlich bekannt zu geben. Wenn Sie eine Sicherheitslücke auf verantwortungsvolle Weise melden, werden das Salesforce-Sicherheitsteam und zugehörige Entwicklungsorganisationen angemessene Anstrengungen unternehmen, um:

  • zeitnah zu antworten und den Empfang der Meldung der Sicherheitslücke zu bestätigen.
  • einen ungefähren Zeitrahmen zur Beseitigung der gemeldeten Sicherheitslücke anzugeben.
  • Sie zu benachrichtigen, wenn die Sicherheitslücke behoben wurde.

Wir möchten uns bei jedem einzelnen Forscher bedanken, der eine Sicherheitslücke meldet und uns damit dabei unterstützt, die allgemeine Sicherheitsaufstellung bei Salesforce zu verbessern.








  


Allen Mitwirkenden ein herzliches Dankeschön.

Der Schutz der Daten unserer Kunden ist uns sehr wichtig und wir wissen Mitwirkende zu schätzen, für die Vertrauen ebenfalls an erster Stelle steht. Liste der Mitwirkenden bei der Sicherheitsforschung anzeigen