zum Hauptinhalt springen

Trust Center

Richtlinie zur Schwachstellen-Offenlegung

Zur besseren Verständlichkeit übersetzt. Rechtlich verbindlich ist die englische Fassung.

Wir begrüßen Sicherheitsforschung in gutem Glauben. Wenn Sie glauben, eine Schwachstelle in Syncanix gefunden zu haben, wollen wir davon erfahren — schnell, direkt und vor allen anderen.

So melden Sie

Senden Sie eine Beschreibung des Problems an admin@syncanix.com.

  • Schritte zur Reproduktion oder ein Proof of Concept — genug, damit wir das Problem bestätigen können.
  • Ihre Einschätzung der Auswirkung: welche Daten oder Aktionen ein Angreifer erreichen könnte.
  • Die betroffene Oberfläche — Website, Dashboard, API, Widget, MCP-Server oder CLI.

Unsere Zusagen

  • Eingangsbestätigung innerhalb von 3 Werktagen nach Ihrer Meldung.
  • Triage und erste Schwere-Einschätzung innerhalb von 7 Tagen.
  • Ein Status-Update mindestens alle 14 Tage bis zur Behebung.
  • Öffentliche Nennung für den Fund, wenn Sie möchten — oder volle Anonymität, wenn Ihnen das lieber ist.

Wir betreiben heute kein bezahltes Bounty-Programm. Sollte sich das ändern, steht es zuerst auf dieser Seite und in unserer security.txt.

Good-Faith-Schutz

Wir verfolgen keine rechtlichen Schritte gegen Forschung, die in gutem Glauben und innerhalb dieser Regeln durchgeführt wird, und unterstützen solche Schritte auch nicht:

  • Greifen Sie nicht auf fremde Daten zu, verändern oder behalten Sie sie nicht; stoßen Sie auf fremde Daten, stoppen Sie und melden Sie es.
  • Beeinträchtigen Sie den Dienst nicht für andere — keine volumetrischen Tests gegen geteilte Infrastruktur.
  • Testen Sie nur mit Konten und Tenants, die Ihnen gehören oder die Sie zu diesem Zweck angelegt haben.

Geltungsbereich

Im Geltungsbereich: syncanix.com, app.syncanix.com, api.syncanix.com, cdn.syncanix.com (das einbettbare Widget), die MCP-Oberfläche pro Tenant und die syncanix-CLI.

Außerhalb des Geltungsbereichs:

  • Denial-of-Service- oder volumetrische Befunde.
  • Social Engineering, Phishing oder physische Angriffe auf Personen.
  • Schwachstellen in Drittdiensten, die wir nutzen — melden Sie diese dem Anbieter (aufgeführt auf unserer Subprozessoren-Seite).
  • Ausgaben automatischer Scanner ohne nachgewiesene, reproduzierbare Auswirkung.

Koordinierte Offenlegung

Geben Sie uns bitte 90 Tage ab Ihrer Meldung (oder eine gemeinsam vereinbarte Frist), bevor Sie etwas veröffentlichen, damit der Fix zuerst jeden Tenant erreicht. Wir koordinieren die Veröffentlichung gern und lassen ein bestätigtes Problem nicht liegen.

Maschinenlesbare Version: /.well-known/security.txt