Sicherheitshinweise

Sicherheitslücke melden

Wenn Sie eine Sicherheitslücke entdeckt haben, melden Sie diese bitte an security@kotao.com. PGP-Schlüssel auf Anfrage. Bitte geben Sie genügend Informationen an, damit wir das Problem reproduzieren können — idealerweise mit Schritten, betroffenen URLs und einem Proof-of-Concept.

Geltungsbereich

Im Geltungsbereich:

• Die kotao.com-Domains und -Subdomains.
• Die Kotao-Plattform und ihre Module (POS, PMS, CRM, ERP, RMS, HRM, CMS, BTP, Payments).

Außerhalb des Geltungsbereichs:

• Drittdienstleistungen und externe Infrastruktur — bitte direkt beim jeweiligen Anbieter melden.
• Denial-of-Service-Angriffe gegen die Produktionsinfrastruktur.
• Social Engineering gegenüber Mitarbeitenden, Auftragnehmern oder Kundinnen und Kunden.
• Physische Angriffe gegen Büros oder Rechenzentren.
• Probleme, die privilegierten Netzzugriff voraussetzen.

Was Sie erwarten können

Wir bemühen uns:

• Ihren Bericht innerhalb von 48 Stunden zu bestätigen.
• Innerhalb von fünf Werktagen ein Status-Update zu geben.
• Bestätigte Probleme entsprechend ihrer Schwere zu beheben.

Bug Bounty

Kotao betreibt derzeit kein bezahltes Bug-Bounty-Programm. Wir planen, die erste anerkannte Meldung mit Zustimmung der meldenden Person als „Hall of Fame”-Credit auf dieser Seite zu würdigen.

Safe Harbour

Forschung in gutem Glauben im Einklang mit dieser Richtlinie führt nicht zu rechtlichen Schritten durch Kotao. Bitte beeinträchtigen Sie nicht den Betrieb, greifen Sie nicht auf fremde Daten zu und veröffentlichen Sie keine Details, bevor wir die Möglichkeit zur Behebung hatten.

Veröffentlichung

Wir koordinieren die Offenlegung gemeinsam mit der meldenden Person. Bitte geben Sie uns eine angemessene Frist zur Behebung, bevor Sie Details veröffentlichen. Eine security.txt-Datei unter /.well-known/security.txt wird zum Launch bereitgestellt und verweist auf diese Richtlinie.