Startseite / Bug-Bounty-Meldung

Bug-Bounty-Meldung

Bug-Bounty-Meldung

Bentley verpflichtet sich, die Daten unserer Anwender zu schützen und in diesem Bereich Transparenz zu gewährleisten. Unsere soliden Standards und Zertifizierungen in den Bereichen Privatsphäre und Datenschutz, Sicherheit und Compliance bestätigen dies.

Leitlinien für das Programm zur verantwortungsvollen Offenlegung von Bentley Systems

AT Bentley Systems, Wir nehmen the Sicherheit von unser Systems und Produkte ernst, und wir schätzen the Sicherheit Gemeinschaft Die Offenlegung von Sicherheit Schwachstellen hilft US den Datenschutz und die Sicherheit unserer Anwender zu gewährleisten. 

1. Allgemeine Leitlinien

Bentley Systems verlangt, dass alle Forscher

  • Datenschutzverletzungen, Beeinträchtigungen der Benutzerfreundlichkeit, Störungen der Produktionssysteme und die Vernichtung von Daten während der Sicherheitstests vermeiden.
  • Forschung nur innerhalb des unten angegebenen Umfangs durchführen.
  • die unten definierten Kommunikationskanäle verwenden, um uns Schwachstelleninformationen zu melden.
  • Informationen über Schwachstellen, die Sie entdeckt haben, vertraulich zwischen Ihnen und Bentley Systems zu halten, bis sie behoben sind.
Wenn Sie diese Leitlinien befolgen, wenn Sie uns ein Problem melden, verpflichten wir uns,
 
  • keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung einzuleiten oder zu unterstützen.
  • mit Ihnen zusammenzuarbeiten, um das Problem schnell zu verstehen und zu lösen.

2. Verhaltenskodex und rechtliche Verantwortlichkeiten

Wenn wir Schwachstellenforschung gemäß dieser Richtlinie durchführen, betrachten wir diese Forschung als

  • autorisiert gemäß dem Computer Fraud and Abuse Act (CFAA) (oder ähnlichen staatlichen Gesetzen), und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einleiten oder unterstützen.
  • ausgenommen vom Digital Millennium Copyright Act (DMCA) und wir werden keine Ansprüche wegen Umgehung von Technologiekontrollen gegen Sie geltend machen.
  • ausgenommen von Einschränkungen in unseren Allgemeinen Geschäftsbedingungen, die die Durchführung von Sicherheitsforschung beeinträchtigen würden, und wir verzichten auf diese Einschränkungen in begrenztem Umfang für Arbeiten, die im Rahmen dieser Richtlinie durchgeführt werden.
  • rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.

Wie immer wird von Ihnen erwartet, dass Sie alle geltenden Gesetze einhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte eine Meldung über einen unserer unten definierten Kommunikationskanäle ein, bevor Sie fortfahren.

3. Anwendungsbereich

GeltungsbereichNicht abgedeckt
  • Alle _.bentley.com-Subdomains
  • Alle Desktop-Produkte von Bentley Systems (nur CONNECT Edition und höher)
  • Alle mobilen Apps von Bentley Systems
  • Alle Cloud-Anwendungen und -Dienste von Bentley
  • Alle Open-Source-Projekte von Bentley (einschließlich imodeljs.org)
  • Infrastruktur von Bentley Systems (VPN, Mailserver, SharePoint, Skype usw.)
  • Erkenntnisse aus physischen Tests, wie z. B. Bürozugang (z. B. offene Türen, Tailgating)
  • Erkenntnisse, die hauptsächlich aus Social Engineering stammen (z. B. Phishing, Vishing)
  • Erkenntnisse aus Anwendungen oder Systemen, die nicht im Abschnitt „Abgedeckt“ aufgeführt sind
  • UI- und UX-Bugs und Rechtschreibfehler
  • Denial-of-Service-Schwachstellen (DoS/DDoS) auf Netzwerkebene
  • Alle Dienste, die von Drittanbietern und -diensten gehostet werden
  • https://www.plaxis.ru
  • https://communities.bentley.com Communities-Meldungen sollten direkt an Telligent gesendet werden.
  • SYNCHRO Academy-Meldungen sollten direkt an Cypher Learning gesendet werden.
  • https://yii.bentley.com/en

 

4. Berechtigte Schwachstellen / Ausschlüsse

Berechtigte SchwachstellenAusschlüsse
  • Brocken Access Control (Privilege Escalation)
  • Business Logic Issues
  • Cross-Origin Resource Sharing (CORS)
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Directory Traversal
  • DLL-Hijacking
  • Hyperlink-Injektion
  • Identifizierung und Authentifizierung
  • Insecure Direct Object Reference (IDOR)
  • Open Redirect
  • Andere
  • Remote Code Execution
  • Fehlkonfiguration der Sicherheit
  • Offenlegung sensibler Daten
  • Fehlkonfiguration der Sitzung
  • SQL-Injektion
  • Subdomain-Übernahme*
  • Wordpress-Probleme
  • Öffentlich bekanntgegebene Fehler in Internetsoftware innerhalb von 15 Tagen nach ihrer Offenlegung
  • Spam- oder Social-Engineering-Techniken, einschließlich SPF- und DKIM-Problemen
  • Self-XSS (wir benötigen Beweise dafür, wie das XSS verwendet werden kann, um einen anderen Anwender anzugreifen)
  • X-Frame-Optionen betreffend (Clickjacking)
  • Ratenlimit-Schwachstelle (sofern kein gültiger Exploit-PoC bereitgestellt wird)
  • XMLRPC.php-Datei ist aktiviert, was zu einem DoS-Angriff führt
  • Fehlende Cookie-Flags bei nicht sensiblen Cookies
  • Fehlende Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen (es sei denn, Sie liefern einen PoC)
  • Header-Injection (s sei denn, es kann nachgewiesen werden, dass solche Angriffe zum Diebstahl von Anwenderdaten führen können)
  • Offenlegung der Version (es sei denn, Sie liefern einen PoC eines funktionierenden Exploits).
  • Probleme, die nicht ausnutzbar sind, aber zu Abstürzen, Stack-Trace und ähnlichen Informationslecks oder Stabilitätsproblemen führen.
  • Denial of Service
  • Alles, was veraltete Browser, Plattformen oder Krypto (z. B. TLS BEAST, POODLE usw.) erfordert
  • Alles aus einem automatisierten Scan, alles, was bereits öffentlich ist, oder alles, was nicht unter der Kontrolle von Bentley Systems steht (z. B. Google Analytics usw.)
  • Theoretische Probleme, denen es an praktischer Ernsthaftigkeit mangelt

*Bitte reichen Sie erst eine Meldung ein, nachdem Sie einen PoC in Form von zwei Screenshots mit Zeitstempeln und einer Subdomain haben. Diese Screenshots müssen beweisen, dass die Subdomain mindestens eine Stunde lang frei war. Scan-Tools fangen oft die kurze Zeitspanne ab, während der Änderungen an der Subdomain durchgeführt werden, was wie eine Schwachstelle aussieht, aber keine ist: Der DNS-Eintrag wird kurz darauf gelöscht. Durch das Einreichen der Screenshots werden Meldungen falscher Sicherheitslücken vermieden, was sowohl Ihnen als auch unserem Team Zeit spart.

Meldungen mit einem teilweisen PoC (ein Zeitstempelnachweis oder gar keine) werden nicht als Erstmeldung behandelt.

ACHTUNG! Die tatsächliche Übernahme der gemeldeten Subdomain als PoC ist untersagt.

 

5. So reichen Sie eine Meldung ein

Wenn Sie glauben, dass Sie eine Sicherheitslücke in einem unserer Produkte oder einer unserer Plattformen gefunden haben, füllen Sie bitte das Formular auf dieser Seite aus.

Stellen Sie sicher, dass Sie die folgenden Informationen angegeben haben:

  • Detaillierte Beschreibung der Schwachstelle mit Informationen wie URL, vollständiger HTTP-Anfrage/Antwort und Art der Schwachstelle.
  • Informationen, die zum Reproduzieren des Problems erforderlich sind.
  • Gegebenenfalls einen Screenshot und/oder ein Video der Schwachstelle.
  • Kontaktinformationen, Name, E-Mail-Adresse, Telefonnummer, Standort. Einreichungen ohne diese Angaben werden nicht berücksichtigt.
  • WICHTIGER HINWEIS. Sie können die erstmalige Einreichung nur über das Formular vornehmen. Wenn Sie Fragen haben, die nicht in einem Formular aufgeführt sind, senden Sie uns bitte eine E-Mail an [E-Mail geschützt].

6. Teilnahmeregeln

  • DoS ist streng verboten.
  • Jede Form von Brute-Force-Anmeldeinformationen ist strengstens untersagt.
  • Die öffentliche Bekanntmachung einer gemeldeten Schwachstelle, bevor sie behoben wurde, ist verboten.
  • Sie dürfen unsere Leistung nicht vernichten oder herabsetzen oder die Privatsphäre oder Integrität unserer Anwender und ihrer Daten verletzen.
  • Das Ausnutzen von Schwachstellen (außer einem generischen PoC) ist strengstens untersagt und wird gemäß geltendem Recht strafrechtlich verfolgt.
  • Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten bietet, müssen Sie
    • die Datenmenge, auf die Sie zugreifen, auf das Minimum beschränken, das für die effektive Demonstration eines Proof of Concept erforderlich ist; und
    • den Test einstellen und
    • sofort eine Meldung einreichen, wenn Sie während des Tests auf Anwenderdaten stoßen, wie z. B. personenbezogene Daten, persönliche Gesundheitsinformationen, Kreditkartendaten oder urheberrechtlich geschützte Daten.
  • Bentley reagiert nicht auf Erpressung oder andere erpresserische und kriminelle Handlungen (z. B. Forderungen nach Vorauszahlung als Gegenleistung dafür, dass eine gefundene Schwachstelle nicht ausgenutzt wird).

7. Öffentliche Bekanntmachung

Sofern von unserem Team nicht anders mitgeteilt, dass die Schwachstelle behoben wurde, halten Sie die öffentliche Bekanntmachung der Schwachstelle bitte für 90 Tage zurück. Andernfalls werden rechtliche Schritte eingeleitet.

8. Duplikate

Nur der erste Forscher, der ein Problem oder ähnliche Probleme meldet, wird im Rahmen dieser Richtlinie berücksichtigt. Dazu gehören Meldungen zum gleichen Problem in verschiedenen Umgebungen (z. B. dev-, qa-, prod-).

9. Triage von Schwachstellen

Sobald Ihre Einreichung eingegangen ist, geschieht Folgendes:

  • Die gemeldete Schwachstelle wird analysiert.
  • Wenn wir feststellen, dass die Einreichung gültig ist und die Anforderungen dieser Richtlinie erfüllt, erhalten Sie möglicherweise eine Vergütung.
  • Sie werden informiert, wenn das Problem behoben ist.

10. Vergütung

Beispiele für SchwachstellenPreisspanne (USD)**
Brocken Access Control (Privilege Escalation)250-450
Business Logic Issues100-300
Cross-Origin Recourse Sharing (CORS)100-200
Cross-Site Request Forgery (CSRF)150-250
Cross-Site Scripting (XSS)100-200
DLL-Hijacking50
Hyperlink-Injektion50
Identifizierung und Authentifizierung250-450
Insecure Direct Object Reference (IDOR)250-450
Open Redirect50-150
Andere0-500
Remote Code Execution600
Fehlkonfiguration der Sicherheit50-250
Offenlegung sensibler Daten50-200
Secrets leak200-500
Fehlkonfiguration der Sitzung50-200
SQL-Injektion250-500
 
Berichte von Anwendern von Bentley Systems über Schwachstellen werden bearbeitet; die Anwender haben jedoch keinen Anspruch auf finanzielle Belohnungen gemäß den Regeln des Programms für verantwortungsvolle Offenlegung.

Berichte, die von kommerziellen Unternehmen oder Einzelpersonen eingereicht werden, die im Namen von Bentley Systems-Anwendern formelle/kommerzielle Sicherheitstests durchführen, haben ebenfalls keinen Anspruch auf finanzielle Belohnungen.

**Beachten Sie, dass mehrere Vorfälle desselben Problems nur bis zum 3-fachen des Preises vergütet werden.

**Meldungen über ein Problem in verschiedenen Umgebungen des Produkts (dev-, qa-, prod-) werden als eine Meldung gezählt.

Wir behalten uns das Recht vor, diese Richtlinie jederzeit und ohne Angabe von Gründen zu ändern, und können keine Vergütung für alle Meldungen garantieren. Die Vergütung erfolgt nur über PayPal. 

WICHTIG. Bitte stellen Sie sicher, dass Sie nur eine gültige PayPal-Adresse senden: Wir können keine anderen Adressen als die Originaladresse für die Zahlung berücksichtigen. Wenn die Transaktion aus irgendeinem Grund fehlschlägt (d. h. PayPal lehnt die Transaktion ab; Empfängerbank kann Zahlung nicht annehmen; Höchstbetrag ist erreicht, Zahlungen werden nur über die Website oder andere Anweisungen akzeptiert usw.), wird die Zahlung storniert und nicht erneut übermittelt.

Bentley Systems behält sich das Recht vor, das Programm zur verantwortungsvollen Offenlegung und sein Vergütungssystem jederzeit ohne vorherige Ankündigung zurückzuziehen.

Meldung einreichen

Inhalt

Bentley Systems verlangt, dass alle Forscher

  • Datenschutzverletzungen, Beeinträchtigungen der Benutzerfreundlichkeit, Störungen der Produktionssysteme und die Vernichtung von Daten während der Sicherheitstests vermeiden.
  • Forschung nur innerhalb des unten angegebenen Umfangs durchführen.
  • die unten definierten Kommunikationskanäle verwenden, um uns Schwachstelleninformationen zu melden.
  • Informationen über Schwachstellen, die Sie entdeckt haben, vertraulich zwischen Ihnen und Bentley Systems zu halten, bis sie behoben sind.
Wenn Sie diese Leitlinien befolgen, wenn Sie uns ein Problem melden, verpflichten wir uns,
 
  • keine rechtlichen Schritte im Zusammenhang mit Ihrer Forschung einzuleiten oder zu unterstützen.
  • mit Ihnen zusammenzuarbeiten, um das Problem schnell zu verstehen und zu lösen.

Wenn wir Schwachstellenforschung gemäß dieser Richtlinie durchführen, betrachten wir diese Forschung als

  • autorisiert gemäß dem Computer Fraud and Abuse Act (CFAA) (oder ähnlichen staatlichen Gesetzen), und wir werden keine rechtlichen Schritte gegen Sie wegen versehentlicher, gutgläubiger Verstöße gegen diese Richtlinie einleiten oder unterstützen.
  • ausgenommen vom Digital Millennium Copyright Act (DMCA) und wir werden keine Ansprüche wegen Umgehung von Technologiekontrollen gegen Sie geltend machen.
  • ausgenommen von Einschränkungen in unseren Allgemeinen Geschäftsbedingungen, die die Durchführung von Sicherheitsforschung beeinträchtigen würden, und wir verzichten auf diese Einschränkungen in begrenztem Umfang für Arbeiten, die im Rahmen dieser Richtlinie durchgeführt werden.
  • rechtmäßig, hilfreich für die allgemeine Sicherheit des Internets und in gutem Glauben durchgeführt.

Wie immer wird von Ihnen erwartet, dass Sie alle geltenden Gesetze einhalten. Wenn Sie zu irgendeinem Zeitpunkt Bedenken haben oder unsicher sind, ob Ihre Sicherheitsforschung mit dieser Richtlinie übereinstimmt, reichen Sie bitte eine Meldung über einen unserer unten definierten Kommunikationskanäle ein, bevor Sie fortfahren.

Geltungsbereich
  • Alle _.bentley.com-Subdomains
  • Alle Desktop-Produkte von Bentley Systems (nur CONNECT Edition und höher)
  • Alle mobilen Apps von Bentley Systems
  • Alle Cloud-Anwendungen und -Dienste von Bentley
  • Alle Open-Source-Projekte von Bentley (einschließlich imodeljs.org)
Nicht abgedeckt
Berechtigte Schwachstellen
  • Brocken Access Control (Privilege Escalation)
  • Business Logic Issues
  • Cross-Origin Resource Sharing (CORS)
  • Cross-Site Request Forgery (CSRF)
  • Cross-Site Scripting (XSS)
  • Directory Traversal
  • DLL-Hijacking
  • Hyperlink-Injektion
  • Identifizierung und Authentifizierung
  • Insecure Direct Object Reference (IDOR)
  • Open Redirect
  • Andere
  • Remote Code Execution
  • Fehlkonfiguration der Sicherheit
  • Offenlegung sensibler Daten
  • Fehlkonfiguration der Sitzung
  • SQL-Injektion
  • Subdomain-Übernahme*
  • Wordpress-Probleme
Ausschlüsse
  • Öffentlich bekanntgegebene Fehler in Internetsoftware innerhalb von 15 Tagen nach ihrer Offenlegung
  • Spam- oder Social-Engineering-Techniken, einschließlich SPF- und DKIM-Problemen
  • Self-XSS (wir benötigen Beweise dafür, wie das XSS verwendet werden kann, um einen anderen Anwender anzugreifen)
  • X-Frame-Optionen betreffend (Clickjacking)
  • Ratenlimit-Schwachstelle (sofern kein gültiger Exploit-PoC bereitgestellt wird)
  • XMLRPC.php-Datei ist aktiviert, was zu einem DoS-Angriff führt
  • Fehlende Cookie-Flags bei nicht sensiblen Cookies
  • Fehlende Sicherheitsheader, die nicht direkt zu einer Schwachstelle führen (es sei denn, Sie liefern einen PoC)
  • Header-Injektion (es sei denn, Sie können zeigen, wie sie zum Stehlen von Anwenderdaten führen können)
  • Offenlegung der Version (es sei denn, Sie liefern einen PoC eines funktionierenden Exploits).
  • Probleme, die nicht ausnutzbar sind, aber zu Abstürzen, Stack-Trace und ähnlichen Informationslecks oder Stabilitätsproblemen führen.
  • Denial of Service
  • Alles, was veraltete Browser, Plattformen oder Krypto (z. B. TLS BEAST, POODLE usw.) erfordert
  • Alles aus einem automatisierten Scan, alles, was bereits öffentlich ist, oder alles, was nicht unter der Kontrolle von Bentley Systems steht (z. B. Google Analytics usw.)
  • Theoretische Probleme, denen es an praktischer Ernsthaftigkeit mangelt

*Bitte reichen Sie erst eine Meldung ein, nachdem Sie einen PoC in Form von zwei Screenshots mit Zeitstempeln und einer Subdomain haben. Diese Screenshots müssen beweisen, dass die Subdomain mindestens eine Stunde lang frei war. Scan-Tools fangen oft die kurze Zeitspanne ab, während der Änderungen an der Subdomain durchgeführt werden, was wie eine Schwachstelle aussieht, aber keine ist: Der DNS-Eintrag wird kurz darauf gelöscht. Durch das Einreichen der Screenshots werden Meldungen falscher Sicherheitslücken vermieden, was sowohl Ihnen als auch unserem Team Zeit spart.

Meldungen mit einem teilweisen PoC (ein Zeitstempelnachweis oder gar keine) werden nicht als Erstmeldung behandelt.

ACHTUNG! Die tatsächliche Übernahme der gemeldeten Subdomain als PoC ist untersagt.

Wenn Sie glauben, dass Sie eine Sicherheitslücke in einem unserer Produkte oder einer unserer Plattformen gefunden haben, füllen Sie bitte das Formular auf dieser Seite aus.

Stellen Sie sicher, dass Sie die folgenden Informationen angegeben haben:

  • Detaillierte Beschreibung der Schwachstelle mit Informationen wie URL, vollständiger HTTP-Anfrage/Antwort und Art der Schwachstelle.
  • Informationen, die zum Reproduzieren des Problems erforderlich sind.
  • Gegebenenfalls einen Screenshot und/oder ein Video der Schwachstelle.
  • Kontaktinformationen, Name, E-Mail-Adresse, Telefonnummer, Standort. Einreichungen ohne diese Angaben werden nicht berücksichtigt.
  • WICHTIGER HINWEIS. Sie können die erstmalige Einreichung nur über das Formular vornehmen. Wenn Sie Fragen haben, die nicht in einem Formular aufgeführt sind, senden Sie uns bitte eine E-Mail an [E-Mail geschützt].
  • DoS ist streng verboten.
  • Jede Form von Brute-Force-Anmeldeinformationen ist strengstens untersagt.
  • Die öffentliche Bekanntmachung einer gemeldeten Schwachstelle, bevor sie behoben wurde, ist verboten.
  • Sie dürfen unsere Leistung nicht vernichten oder herabsetzen oder die Privatsphäre oder Integrität unserer Anwender und ihrer Daten verletzen.
  • Das Ausnutzen von Schwachstellen (außer einem generischen PoC) ist strengstens untersagt und wird gemäß geltendem Recht strafrechtlich verfolgt.
  • Wenn eine Schwachstelle unbeabsichtigten Zugriff auf Daten bietet, müssen Sie
    • die Datenmenge, auf die Sie zugreifen, auf das Minimum beschränken, das für die effektive Demonstration eines Proof of Concept erforderlich ist; und
    • den Test einstellen und
    • sofort eine Meldung einreichen, wenn Sie während des Tests auf Anwenderdaten stoßen, wie z. B. personenbezogene Daten, persönliche Gesundheitsinformationen, Kreditkartendaten oder urheberrechtlich geschützte Daten.
  • Bentley reagiert nicht auf Erpressung oder andere erpresserische und kriminelle Handlungen (z. B. Forderungen nach Vorauszahlung als Gegenleistung dafür, dass eine gefundene Schwachstelle nicht ausgenutzt wird).

Sofern von unserem Team nicht anders mitgeteilt, dass die Schwachstelle behoben wurde, halten Sie die öffentliche Bekanntmachung der Schwachstelle bitte für 90 Tage zurück. Andernfalls werden rechtliche Schritte eingeleitet.

Nur der erste Forscher, der ein Problem oder ähnliche Probleme meldet, wird im Rahmen dieser Richtlinie berücksichtigt. Dazu gehören Meldungen zum gleichen Problem in verschiedenen Umgebungen (z. B. dev-, qa-, prod-).

Sobald Ihre Einreichung eingegangen ist, geschieht Folgendes:

  • Die gemeldete Schwachstelle wird analysiert.
  • Wenn wir feststellen, dass die Einreichung gültig ist und die Anforderungen dieser Richtlinie erfüllt, erhalten Sie möglicherweise eine Vergütung.
  • Sie werden informiert, wenn das Problem behoben ist.
Beispiele für Schwachstellen Preisspanne (USD)**
Brocken Access Control (Privilege Escalation) 200-400
Business Logic Issues 100-300
Cross-Origin Recourse Sharing (CORS) 100-200
Cross-Site Request Forgery (CSRF) 100-200
Cross-Site Scripting (XSS) 50-150
Directory Traversal 100-200
DLL-Hijacking 100-200
Hyperlink-Injektion 50
Identifizierung und Authentifizierung 200-400
Insecure Direct Object Reference (IDOR) 200-400
Open Redirect 50-150
Andere 0-500
Remote Code Execution 500
Fehlkonfiguration der Sicherheit 50-200
Offenlegung sensibler Daten 50-500
Fehlkonfiguration der Sitzung 50-150
SQL-Injektion 200-400
**Beachten Sie, dass mehrere Vorfälle desselben Problems nur bis zum 3-fachen des Preises vergütet werden.

**Meldungen über ein Problem in verschiedenen Umgebungen des Produkts (dev-, qa-, prod-) werden als einer gezählt.

Wir behalten uns das Recht vor, diese Richtlinie jederzeit und ohne Angabe von Gründen zu ändern, und können keine Vergütung für alle Meldungen garantieren. Die Vergütung erfolgt nur über PayPal. 

WICHTIG. Bitte stellen Sie sicher, dass Sie nur eine gültige PayPal-Adresse senden: Wir können keine anderen Adressen als die Originaladresse für die Zahlung berücksichtigen. Wenn die Transaktion aus irgendeinem Grund fehlschlägt (d. h. PayPal lehnt die Transaktion ab; Empfängerbank kann Zahlung nicht annehmen; Höchstbetrag ist erreicht, Zahlungen werden nur über die Website oder andere Anweisungen akzeptiert usw.), wird die Zahlung storniert und nicht erneut übermittelt.

Bentley Systems behält sich das Recht vor, das Programm zur verantwortungsvollen Offenlegung und sein Vergütungssystem jederzeit ohne vorherige Ankündigung zurückzuziehen.