Die Stadtverwaltung Mainz setzt sich für die Sicherheit ihrer IT-Infrastruktur ein und ist bestrebt, Schwachstellen schnell zu erkennen und zu beheben. Wir danken daher allen Sicherheitsforschenden und unabhängigen Experten für ihre Hilfe bei der Identifizierung von Schwachstellen und der Verbesserung unserer Sicherheitsmaßnahmen. 
Wir betreiben kein Bug-Bounty-Programm und bieten keine finanzielle Belohnung für gemeldete Schwachstellen. Unser Fokus liegt auf der schnellen und effektiven Behebung von Schwachstellen im Interesse der öffentlichen Sicherheit.
Wir erwarten, dass sich an die aufgeführten Punkte, gehalten wurde, damit Ihre Schwachstellenmeldung in unseren Coordinated-Vulnerability-Disclosure-Prozess (CVD-Prozess) überführt werden kann.

• behandeln jede gemeldete Schwachstelle innerhalb der gesetzlichen Vorgaben vertraulich.
• nehmen Schwachstellen über unsere E-Mail-Adresse cvdstadt.mainzde entgegen. Nach Absprache können verschlüsselte Verfahren zum Einsatz kommen.
• geben Ihre personenbezogene Daten nicht ohne Ihre ausdrückliche Zustimmung an Dritte weiter. Sie können uns Ihre Meldung auch anonym oder unter einem Pseudonym zukommen lassen.
• leiten keine strafrechtlichen Schritte gegen Sie ein, solange Ihrerseits die Richtlinie und Grundsätze eingehalten wurden. Dies gilt nicht, wenn erkennbare kriminelle Absichten verfolgt wurden oder werden.
• werden, falls gewünscht, Ihren Namen/Alias sowie eine gewünschte Referenz auf der Danksagungswebseite ("Hall of Fame") veröffentlichen, sofern eine signifikante Schwachstelle gemeldet wurde.

Bitte beachten Sie für den Fall, dass Sie personenbezogene Daten in der Meldung angegeben haben die Datenschutz-Hinweise.

• die gefundene Schwachstelle nicht missbräuchlich ausgenutzt wurde. D.h., dass unter anderem keine Schäden über die gemeldete Schwachstelle hinaus angerichtet wurden.
• keine Angriffe (wie z.B. Social-Engineering-, Spam-, (Distributed) DoS- oder „Brute Force“-Angriffe, etc.) gegen IT-Systeme oder Infrastrukturen durchgeführt wurden.
• keine Manipulation, Kompromittierung oder Veränderung von möglichen Systemen oder Daten Dritter vorgenommen wurde.
• keine Tools zur Schwachstellenausnutzung z.B. auf Darknet-Märkten entgeltlich oder unentgeltlich angeboten wurden, die Dritte zur Begehung von Straftaten nutzen können.