Security Disclosure Policy
Die USTP – University of Applied Sciences St. Pölten misst der Sicherheit ihrer IT‑Systeme, Webanwendungen und digitalen Dienste große Bedeutung bei. Trotz sorgfältiger technischer und organisatorischer Maßnahmen können Schwachstellen nicht mit absoluter Sicherheit ausgeschlossen werden.
Diese Policy beschreibt, wie Sicherheitslücken verantwortungsvoll gemeldet werden können.
Geltungsbereich
Diese Policy gilt für alle von der USTP betriebenen oder verantworteten IT‑Systeme, Webanwendungen und Online‑Services unter ihren Domains.
Meldung von Sicherheitslücken
Wenn Sie eine potenzielle Sicherheitslücke entdecken, ersuchen wir Sie um eine verantwortungsvolle Offenlegung.
Bitte kontaktieren Sie uns ausschließlich über:
E‑Mail: support+disclosure@ustp.at
Bitte übermitteln Sie möglichst:
- eine Beschreibung der Schwachstelle,
- betroffene Systeme oder URLs,
- nachvollziehbare Reproduktionsschritte,
- relevante Screenshots oder Log‑Informationen (sofern rechtlich zulässig),
- Ihre Kontaktadresse für Rückfragen.
Erwartungen an meldende Personen
Wir ersuchen darum:
- keine Daten zu verändern, zu löschen oder zu exfiltrieren,
- keine Beeinträchtigung des laufenden Betriebs herbeizuführen,
- keine Social‑Engineering‑Angriffe durchzuführen,
- keine Informationen über die Schwachstelle vor deren Behebung öffentlich zu machen,
- ausschließlich den zur Feststellung notwendigen technischen Umfang zu nutzen.
Umgang mit Meldungen
Die Hochschule:
- bestätigt den Eingang der Meldung,
- prüft die gemeldete Schwachstelle unverzüglich,
- behandelt übermittelte Informationen vertraulich,
- verarbeitet personenbezogene Daten ausschließlich im Rahmen der DSGVO,
- gibt keine personenbezogenen Daten ohne gesetzliche Verpflichtung weiter.
Die Hochschule betreibt kein Bug‑Bounty‑Programm und kann keine finanzielle Vergütung anbieten.
Allgemeiner Kontakt & Rechtsträger
Hochschule für Angewandte Wissenschaften St. Pölten GmbH
Campus‑Platz 1, 3100 St. Pölten, Österreich
E‑Mail: csc@ustp.at