Infrastruktur

Die Infrastruktur von Hootsuite basiert sowohl auf Cloud- als auch auf physischen Servern. Unsere Cloud wird von einem bekannten Top-Cloud-Anbieter bereitgestellt. Unsere physischen Server befinden sich in Tier-4-Rechenzentren, in denen ununterbrochene Stromversorgung, Kühlung und Netzwerkredundanz gewährleistet ist.

Sicherheit

Die Sicherheit Ihrer Daten ist unsere Priorität. Deshalb speichern wir sie auf mehreren Hosts an verschiedenen Standorten und führen pro Datenspeicher regelmäßig bis zu vier Back-ups am Tag durch. Für die Sicherheit der Daten auf unseren physischen Servern ist dank biometrischen Schlössern, verstärktem Zugriffsschutz sowie interner und externer Überwachung rund um die Uhr gesorgt.

Host-Sicherheit

Lediglich unser Team von Ingenieuren hat Zugang zu unserer Produktionsumgebung. Auf alle unsere Server-Konsolen kann ausschließlich per SSH-Schlüssel und Kerberos-Token zugegriffen werden. Automatisierte Prozesse schützen unsere Hosts durch die Erkennung unautorisierter Login-Versuche. Betreffende IP-Adressen werden automatisch auf eine schwarze Liste gesetzt und gemeldet.

Datenrechte

Hootsuite arbeitet mit Drittanbietern und Hosting-Partnern zusammen, um die nötige Hardware, Software, Netzwerkstruktur, Speicherkapazität und relevante Technologie für die Ausführung seiner Dienste bereitzustellen. Obwohl Hootsuite Media Inc. sich die Rechte an dem Code, den Datenbanken und sämtlichen Hootsuite-Anwendungen vorbehält, verbleiben die Rechte an Ihren Daten bei Ihnen.

Datenschutz

In 2016 the European Commission approved and adopted a new framework for European data protection law called the General Data Protection Regulation (GDPR). The GDPR requirements will become effective on May 25, 2018 and will affect all companies who process personal data of individuals in the EU.

More information on the General Data Protection Regulation (GDPR).

Melden von Sicherheitsvorfällen

Wir nehmen die Sicherheit bei Hootsuite sehr ernst und haben ein Programm zur Belohnung von Sicherheitslücken, das auf die Identifizierung und Behebung von Sicherheitsproblemen ausgerichtet ist. Hootsuite bietet je nach Schwere der Ergebnisse folgende Belohnungen als Prämie an:

Critical

$100 CAD Amazon eGift Card. 

Hoch

$75 CAD Amazon eGift Card.

Mittel

$50 CAD Amazon eGift Card.

All of the gift cards are from the domain of the researcher’s choosing.  

If your finding is of medium, high, or critical severity we offer to include your name in our Hall of Fame (see below for our current list). We do not offer rewards for low severity issues.

If you are interested in submitting your findings for review, please email hootsec@hootsuite.com. Please note that, upon your submission, it might take up to 5 business days to triage and identify the right severity for the issue. If Hootsuite is already aware of the issue, we do not offer any reward for the finding. We request you not to share or publish an unresolved vulnerability with any third parties.

Please make sure the findings you are submitting are reproducible and not self exploitation issues. Make sure to include the following content in the submission:

• Title of the finding

• Description of the finding

• Location of the finding (product module/page)

• Schritte zur Reproduktion (einschließlich Anforderungs-/Antwortprotokolle, falls zutreffend)

• Screen shots/Video recording (if applicable)

• Schwierigkeitsgrad

Ineligible vulnerability types

Please note that Hootsuite does not consider the following to be eligible vulnerabilities under this program:

• Schwachstellen in den Drittanbieter-/Open-Source-Komponenten

• Distributed Denial of Service

• Social Engineering/phishing issues

• Email bomb/flooding

• Findings from the automated scanners which are not triaged

• Offenlegung von Server- oder Software-Versionsnummern

• Password strength or policy

• Security issues which can only be exploited with jailbroken or rooted devices.

• Self exploitation attacks.

• Vulnerabilities which can be only exploited in outdated browsers

• Integritätsprüfungen für Subressourcen

• Header misconfigurations or missing security headers without evidence of the ability to target a remote victim

• Unclaimed social media accounts, links or domains which look similar to Hootsuite.

• DMARC/SPF-Probleme

• Probleme im Zusammenhang mit TLS/SSL-Versionen

For incidents that affect a single account, please contact Hootsuite Help, they are your fastest response for single-user security issues.

Hootsuite’s InfoSec team commitment

Once you submit your findings our Information security team and associated development teams are committed to:

• Bestätigen Sie den gemeldeten Befund

• Provide an estimate to triage the vulnerability and identify whether it is a true positive or false positive.

• If it is a true positive provide an estimate on timelines to fix the finding

• Inform you once your finding is remediated

• If applicable send you awards as described above.

We appreciate the efforts of every individual researcher who submits a vulnerability report and helps us in improving the Hootsuite’s security posture.

Verschiedenes

Hootsuite reserves the right to cancel this program at any time and the decision to pay a bounty is entirely at our discretion. The testing must not violate any law, disrupt and/or compromise any data that is not your own. Additional restrictions might be applied on the bounty depending on your local laws.

Failure to follow any of the above mentioned rules will disqualify you from participating in this program.

Vielen Dank

We respect the effort and skill that goes into finding and disclosing security flaws. We are grateful for the generosity and support of the following individuals and/or organizations: