• Funktionen
  • So funktioniert's
  • Preise
  • Dokumentation
  • Für Agenturen
  • Blog
Angriff im Gange?
  • English
  • Українська
  • Deutsch
  • Français

Responsible Disclosure

Wir bauen ein Sicherheitsprodukt, also nehmen wir Meldungen zu unserer eigenen Sicherheit ernst. Wenn Sie eine Schwachstelle gefunden haben, erklärt diese Seite, wie Sie es uns mitteilen — und was wir im Gegenzug zusagen.

Geltungsbereich

Im Geltungsbereich — alles, was Vertraulichkeit, Integrität oder Verfügbarkeit des Smart-WAF-Dienstes und der von uns betriebenen Systeme betrifft:

  • unsere Edge-Nodes und die verkehrsfilternde Data Plane;
  • die Control-Plane-API und das Kundenportal;
  • diese Website und ihre Infrastruktur;
  • Tenant-Isolationsprobleme (jeder Pfad, über den ein Kunde die Daten eines anderen erreichen kann).

Außerhalb des Geltungsbereichs — Meldungen, auf die wir nicht reagieren können oder die erwartetes Verhalten beschreiben:

  • Funde in Drittdiensten, die wir nicht betreiben (melden Sie diese deren Betreibern);
  • volumetrisches Denial-of-Service-Testen gegen unseren Produktions-Edge — bitte führen Sie es nicht durch;
  • Social Engineering gegenüber unseren Mitarbeitenden, Kunden oder Partnern;
  • fehlende Sicherheits-Header oder Best-Practice-Vorschläge ohne nachweisbare Auswirkung.

Safe Harbour

Wenn Sie sich in gutem Glauben um die Einhaltung dieser Richtlinie bemühen, werden wir keine rechtlichen Schritte gegen Sie einleiten oder unterstützen. Guter Glaube bedeutet: Sie bleiben im Geltungsbereich, Sie greifen nicht auf fremde Daten zu, verändern oder löschen sie nicht über das zur Demonstration Nötige hinaus, Sie beeinträchtigen unseren Dienst nicht für andere und geben uns eine angemessene Chance, das Problem vor einer Veröffentlichung zu beheben.

Wir behandeln ehrliche, sorgfältige Forschung nicht als Angriff. Falls Sie unsicher sind, ob etwas im Geltungsbereich liegt, fragen Sie uns zuerst.

Was Sie erwarten können

Wir sind ein kleines Team und sind dabei ehrlich, statt ein Service-Level zu versprechen, das wir nicht garantieren können:

  • wir streben an, Ihre Meldung innerhalb von fünf Werktagen zu bestätigen;
  • wir halten Sie auf dem Laufenden, während wir das Problem untersuchen und bestätigen;
  • wir informieren Sie, wenn ein Fix ausgeliefert wird, und nennen Sie gern namentlich, wenn Sie das möchten (oder wahren Ihre Anonymität, wenn nicht).

Wir betreiben derzeit kein bezahltes Bug-Bounty-Programm. Anerkennung und ein aufrichtiges Dankeschön sind das, was wir heute anbieten können.

Kontakt

Schreiben Sie an security@waf.smartis.site mit einer klaren Beschreibung, den Schritten zur Reproduktion und jedem Proof-of-Concept, den Sie teilen können. Das ist dieselbe Adresse, die in unserer maschinenlesbaren /.well-known/security.txt veröffentlicht ist.

Smart WAF

Cloud-WAF aus der EU — Edge-Filterung mit lückenlosem Audit-Log.

Keine Cookies, kein Tracking.

  • Funktionen
  • So funktioniert's
  • Preise
  • Dokumentation
  • Für Agenturen
  • Blog
  • Kontakt
  • Datenschutz
  • Impressum
  • AGB
  • Responsible Disclosure