Richtlinie für Sicherheitstests

Überblick

Credenti der Einhaltung höchster Standards in den Bereichen Cybersicherheit, passwortlose Authentifizierung und Zero-Trust-Zugriffskontrolle verschrieben. Unsere Plattform sichert den Benutzerzugriff auf der Ebene der Betriebssystemanmeldung, der Anwendungsebene und der Identitätsinfrastruktur.

Wir unterstützen verantwortungsvolle Sicherheitstests und Penetrationstests, die unter kontrollierten und genehmigten Bedingungen durchgeführt werden. Diese Richtlinie für Sicherheitstests legt den zulässigen Umfang, verbotene Aktivitäten sowie die Governance-Anforderungen für das Testen Credenti und -Diensten fest.

Wichtig: Diese Richtlinie gilt speziell für Kunden und autorisierte Dritte, die Sicherheitstests an Credenti und den Diensten Credenti durchführen. Sie beschreibt oder beschränkt nicht die internen Sicherheitspraktiken Credenti. Credenti ein umfassendes, mehrschichtiges Sicherheitsprogramm Credenti , das eine breite Palette von Test- und Validierungsmethoden umfasst, darunter sichere Entwicklungspraktiken, statische und dynamische Analysen, interne und externe Penetrationstests sowie eine kontinuierliche Sicherheitsüberwachung – was über den Geltungsbereich dieser Richtlinie hinausgeht.

Geltungsbereich

Diese Richtlinie gilt für alle Credenti und Dienste Credenti , einschließlich:

  • Plattformen für die passwortlose Authentifizierung
  • Lösungen für die sichere Anmeldung an Arbeitsplätzen und Geräten
  • Dienste für Identitäts- und Zugriffsmanagement (IAM)
  • Browser-Erweiterungen und Endpunkt-Agenten
  • Komponenten für die Authentifizierung und Anmeldung im Betriebssystem, darunter Windows-Anmeldeinformationsanbieter, Authentifizierungspakete, Anmeldeintegrationen für macOS, Linux-PAM-Module sowie weitere Mechanismen zur Anmeldung oder Entsperrung von Arbeitsstationen
  • APIs, Backend-Dienste und Authentifizierungsinfrastruktur
  • Containerisierte Workloads, Images virtueller Maschinen und Bereitstellungsartefakte
  • Bereitstellungen vor Ort, in der Cloud, als Hybridlösung und mit physischer Isolierung

Zulässige Sicherheitstests

Credenti kontrollierte, nicht-invasive Black-Box-Sicherheitstests, bei denen das Systemverhalten bewertet wird, ohne auf die interne Implementierung oder proprietäre Logik zuzugreifen.

Zulässige Aktivitäten

  • Black-Box-Penetrationstests
  • Tests zur Netzwerk- und Perimetersicherheit
  • API-Tests unter Verwendung dokumentierter Schnittstellen
  • Überprüfung des Authentifizierungs- und Autorisierungsablaufs
  • Konfiguration und Überprüfung der Richtlinien
  • Zerstörungsfreies Schwachstellenscanning

Diese Ansätze stehen im Einklang mit den modernen Zero-Trust-Prinzipien, bei denen Systeme extern getestet werden, ohne dass interne Strukturen offengelegt oder Mechanismen zur Identitätssicherung geschwächt werden.

Prüfverfahren und Einschränkungen

Credenti Sicherheitsprüfungsansätze, die auf einem Zero-Trust-Modell basieren, bei dem Systeme extern bewertet werden, ohne interne Implementierungsdetails offenzulegen.

Zulässige Methodik

  • Black-Box-Testing: Tests, die ohne Zugriff auf Quellcode, Binärdateien oder das interne Systemdesign durchgeführt werden

Eingeschränkte Methoden

  • White-Box-Testing: Tests, für die Zugriff auf den Quellcode, die interne Architektur oder Implementierungsdetails erforderlich ist
  • Gray-Box-Testing: Testverfahren, bei dem nur teilweise Kenntnisse über die Systeminterna, APIs oder den Aufbau vorliegen
  • Statische Anwendungssicherheitstests (SAST): Analyse auf Codeebene, einschließlich Quellcodeüberprüfung, Dekompilierung von Binärdateien oder Reverse Engineering

Diese eingeschränkten Methoden beinhalten naturgemäß den Zugriff auf oder die Analyse von proprietärer Logik, Authentifizierungsmechanismen oder Anmeldeintegrationen in Betriebssysteme und sind daher ohne ausdrückliche schriftliche Genehmigung von Credenti nicht zulässig.

Verbotene Handlungen

Zum Schutz der passwortlosen Authentifizierungsarchitektur Credenti, der Integrationen in Betriebssystem-Anmeldesysteme und der proprietären Sicherheitsmechanismen sind die folgenden Aktivitäten strengstens untersagt.

Reverse Engineering und Code-Analyse

  • Das Dekompilieren, Disassemblieren, Dekodieren oder Reverse Engineering von Softwarekomponenten
  • Entpacken oder Analysieren von Binärdateien, ausführbaren Dateien oder Browser-Erweiterungen
  • Überprüfen von Container-Images, Images virtueller Maschinen oder Bereitstellungsartefakten
  • Fehlerbehebung, Instrumentierung oder Speicherüberprüfung
  • Dekompilierung, Überprüfung oder Analyse von Authentifizierungs- und Anmeldekomponenten von Betriebssystemen, einschließlich Windows-Anmeldeinformationsanbietern, Authentifizierungspaketen, macOS-Anmeldeintegrationen, Linux-PAM-Modulen und zugehörigen Authentifizierungsmechanismen

KI-gestützte Analyse und externe Verarbeitung

  • Hochladen von Software, Binärdateien, Artefakten oder Ausgabedaten auf Plattformen für künstliche Intelligenz (KI) oder maschinelles Lernen
  • Übermittlung von Credenti an Code-Analyse-Tools oder externe SaaS-Umgebungen
  • Nutzung von Diensten von Drittanbietern, die das Hochladen von Binärdateien, Code oder proprietären Artefakten erfordern

Ermittlung der internen Architektur

  • Der Versuch, Quellcode abzuleiten oder zu rekonstruieren
  • Der Versuch, die Systemarchitektur, Sicherheitsmaßnahmen oder die Authentifizierungslogik abzuleiten
  • Der Versuch, Mechanismen zur Verwaltung von Anmeldedaten oder proprietäre Arbeitsabläufe aufzudecken

Störende oder böswillige Tests

  • Denial-of-Service-Angriffe (DoS oder DDoS)
  • Versuche, Daten zu entwenden
  • Unbefugte Rechteausweitung
  • Seitliche Bewegung außerhalb des genehmigten Bereichs
  • Beeinträchtigung von Produktionssystemen oder des Benutzerzugangs

Unbefugte Weitergabe oder Zugriff durch Dritte

  • Weitergabe von Software, Artefakten oder Zugriffsrechten an nicht genehmigte Dritte
  • Verwendung von Tools oder Plattformen, bei denen Code oder Binärdateien extern hochgeladen werden müssen
  • Nicht zugelassenen Anbietern oder Testern Zugriff auf Credenti gewähren

Anforderungen an die Prüfberechtigung

Alle Sicherheitstests müssen Credenti ihrer Durchführung ausdrücklich schriftlich von Credenti genehmigt werden.

Anforderungen

  • Festgelegter Umfang, Systeme und Zeitpläne
  • Angabe der prüfenden Stelle, unabhängig davon, ob es sich um eine interne Stelle oder einen Dritten handelt
  • Offenlegung der einzusetzenden Instrumente und Methoden
  • Ermittlung der Zielumgebungen
  • Zustimmung zur Einhaltung der Credenti -EULA und dieser Richtlinie für Sicherheitstests

Das Durchführen von Tests ohne Genehmigung ist strengstens untersagt.

Kontrollen durch unabhängige Prüfstellen

Wenn die Prüfung von einem Dritten durchgeführt wird:

  • Der Drittanbieter muss von Credenti zugelassen sein
  • Der Dritte muss zur Vertraulichkeit und zur Geheimhaltung verpflichtet sein
  • Der Dritte muss die Credenti -EULA und diese Richtlinie für Sicherheitstests vollständig einhalten

Der Kunde trägt die volle Verantwortung für alle Handlungen, die von externen Prüfern vorgenommen werden.

Datenverarbeitung und Vertraulichkeit

Alle Testergebnisse, einschließlich Protokolle, Befunde und Artefakte, gelten als vertrauliche Informationen.

Anforderungen

  • Keine Veröffentlichung ohne vorherige schriftliche Genehmigung
  • Kein Upload auf externe oder Drittanbieter-Plattformen
  • Nicht für Wettbewerbsanalysen oder die Produktentwicklung geeignet
  • Sichere Lagerung und jederzeit kontrollierter Zugang

Offenlegung von Sicherheitslücken

Credenti die verantwortungsvolle Offenlegung von Sicherheitsbefunden.

Sicherheitslücken melden

E-Mail: credenti

Bitte geben Sie Folgendes an:

  • Ausführliche Beschreibung des Problems
  • Schritte zur Reproduktion
  • Folgenabschätzung
  • Belege wie Protokolle, Screenshots oder Ablaufverfolgungen

Safe Harbor

Credenti keine rechtlichen Schritte gegen Sicherheitsforscher einleiten, die:

  • in gutem Glauben handeln
  • Beachten Sie diese Richtlinie
  • Vermeiden Sie eine Nutzung, die über die erforderliche Validierung hinausgeht
  • Verstoßen Sie nicht gegen geltende Gesetze und gefährden Sie keine Nutzerdaten

Zero Trust und passwortlose Sicherheit – eine einheitliche Herangehensweise

Die Plattform Credentibasiert auf:

  • Passwortlose Authentifizierung ohne gemeinsame Geheimnisse
  • Phishing-sichere Identitätsprüfung
  • Geräte- und kontextbasierte Zugriffskontrolle

Sicherheitstests müssen diese Kontrollmaßnahmen beachten und dürfen nicht versuchen, Mechanismen zur Identitätssicherung außerhalb genehmigter Szenarien zu umgehen oder zu schwächen.

Durchsetzung

Verstöße gegen diese Richtlinie können folgende Konsequenzen haben:

  • Sofortige Sperrung des Zugangs
  • Kündigung von Verträgen
  • Rechtliche Schritte nach geltendem Recht
  • Durchsetzung im Rahmen von Schutzrechten des geistigen Eigentums und Vertraulichkeitsverpflichtungen