NextPKI
Sicherheit & Vulnerability Disclosure
Wir verkaufen Certificate-Lifecycle-Management. Unsere eigene Sicherheits-Baseline muss Maßstab sein.
Sicherheitslücke melden
E-Mail an security@nextpki.com, verschlüsselt mit unserem PGP-Key (Fingerprint: noch zu veröffentlichen).
Maschinenlesbar unter /.well-known/security.txt gemäß RFC 9116.
Scope
In Scope:
*.nextpki.comund*.nextpki.de- Der Open-Source-Sensor (Quellcode in unserer GitHub-Organisation)
- Console und API von NextPKI
Außerhalb des Scopes:
- Drittanbieter-Services (bitte direkt dort melden)
- Findings, die physischen Zugriff, Social Engineering oder Denial of Service erfordern
- Self-XSS und fehlende Security-Header auf Nicht-Produktions-Hosts
Safe Harbour
Gutgläubige Sicherheitsforschung im Rahmen dieser Policy zieht keine rechtlichen Schritte seitens der Datargo GmbH nach sich. Wir bitten dich:
- Privacy-Verletzungen, Daten-Zerstörung und Service-Unterbrechungen nach besten Kräften zu vermeiden
- Uns angemessene Zeit zur Behebung vor öffentlicher Disclosure einzuräumen (90 Tage Standard)
- Nicht mehr Daten abzufragen, als nötig ist, um das Problem zu demonstrieren
Reaktionsziele
- Triage-Bestätigung: 5 Werktage
- Erste Severity-Einschätzung: 10 Werktage
- Coordinated-Disclosure-Fenster: 90 Tage ab Bestätigung, in beiderseitigem Einvernehmen verlängerbar
Würdigungen
Wir führen einen Hall of Fame für Forscher, die valide Findings melden. Aufnahme nur mit deiner Zustimmung.
Noch kein Bug-Bounty-Programm, Start geplant für 2027 nach Abschluss der Pilot-Phase.