La municipalité de Mayence s'engage à assurer la sécurité de son infrastructure informatique et s'efforce d'identifier et de corriger rapidement les vulnérabilités. Nous remercions donc tous les chercheurs en sécurité et les experts indépendants pour leur aide dans l'identification des vulnérabilités et l'amélioration de nos mesures de sécurité.
Nous ne gérons pas de programme de prime aux bogues et n'offrons aucune récompense financière pour les vulnérabilités signalées. Notre priorité est de corriger rapidement et efficacement les vulnérabilités dans l'intérêt de la sécurité publique.
Nous attendons de vous que vous respectiez les points énumérés ci-dessous afin que votre rapport de vulnérabilité puisse être intégré à notre processus de divulgation coordonnée des vulnérabilités (processus CVD).

• Nous traitons chaque vulnérabilité signalée de manière confidentielle, dans le respect des dispositions légales.
• Nous recevons les signalements de vulnérabilités à l'adresse e-mail cvdstadt.mainzde. Des procédures cryptées peuvent être utilisées après accord.
• Nous ne transmettons pas vos données personnelles à des tiers sans votre consentement explicite. Vous pouvez également nous envoyer votre signalement de manière anonyme ou sous un pseudonyme.
• Nous n'engagerons aucune poursuite pénale à votre encontre tant que vous aurez respecté la politique et les principes. Cela ne s'applique pas si des intentions criminelles manifestes ont été ou sont poursuivies.
• Si vous le souhaitez, nous publierons votre nom/pseudonyme ainsi qu'une mention de votre choix sur la page de remerciements (« Hall of Fame »), à condition qu'une vulnérabilité significative ait été signalée.

Veuillez tenir compte de la politique de confidentialité si vous avez fourni des données à caractère personnel dans votre signalement.

• la vulnérabilité découverte n'a pas fait l'objet d'une exploitation abusive. Cela signifie, entre autres, qu'aucun dommage n'a été causé au-delà de la vulnérabilité signalée.
• aucune attaque (telle que l'ingénierie sociale, le spam, les attaques par déni de service (DDoS) ou par force brute, etc.) n'a été menée contre des systèmes informatiques ou des infrastructures.
• aucune manipulation, compromission ou modification de systèmes ou de données de tiers n'a été effectuée
• aucun outil permettant d'exploiter la vulnérabilité n'a été proposé, à titre onéreux ou gratuit, par exemple sur les marchés du darknet, que des tiers pourraient utiliser pour commettre des infractions pénales.