Verantwortungsvolle Offenlegung
Sicherheit bei Senticor
Senticor hat sich der Entwicklung vertrauenswürdiger KI-Systeme verschrieben, die von Grund auf sicher konzipiert sind. Wir nehmen Sicherheit ernst und schätzen die Beiträge von Sicherheitsforschern und der breiteren Sicherheitsgemeinschaft, die uns dabei helfen, die höchsten Schutzstandards für unsere Plattform und unsere Kunden aufrechtzuerhalten.
Wir ermutigen zur verantwortungsvollen Offenlegung von Sicherheitslücken und sind bestrebt, mit Forschern zusammenzuarbeiten, um legitime Meldungen zu verifizieren, zu reproduzieren und darauf zu reagieren.
Melden einer Sicherheitslücke
Wenn Sie glauben, eine Sicherheitslücke in Senticors Systemen, Plattform oder Diensten entdeckt zu haben, melden Sie diese bitte verantwortungsvoll.
So melden Sie
E-Mail: security@senticor.ai
PGP-Schlüssel: Verfügbar unter /security-pgp-key.txt für verschlüsselte Kommunikation
PGP-Fingerprint: 2AEC 4561 F4C1 83E3 FBFC 0CF9 04EB D9C9 CEFA 7A88
Was Ihre Meldung enthalten sollte
Um uns zu helfen, das Problem schnell zu bewerten und zu beheben, fügen Sie bitte Folgendes bei:
- Zusammenfassung: Kurze Beschreibung des Schwachstellentyps und des Standorts
- Reproduktionsschritte: Detaillierte Anweisungen zur Reproduktion des Problems
- Potenzielle Auswirkungen: Ihre Einschätzung der Sicherheitsauswirkungen
- Proof of Concept: Code, Screenshots oder andere Nachweise (falls zutreffend)
- Ihre Kontaktdaten: E-Mail-Adresse für Rückfragen
Bitte NICHT einschließen:
- Echte Kundendaten oder personenbezogene Daten (PII)
- Zugangsdaten oder Tokens (verwenden Sie stattdessen Dummy-/Testdaten)
- Aus Produktionssystemen extrahierte Daten
Programmrichtlinien
Für Sicherheitsforscher
Bei der Prüfung auf Sicherheitslücken bitten wir Sie:
✅ Bemühen Sie sich nach bestem Wissen und Gewissen, Datenschutzverletzungen, Datenzerstörung oder Dienstunterbrechungen zu vermeiden
✅ Interagieren Sie nur mit Testkonten, die Ihnen gehören oder für die Sie ausdrückliche Genehmigung des Kontoinhabers haben
✅ Greifen Sie nicht auf Daten anderer zu, ändern oder löschen Sie diese nicht
✅ Vermeiden Sie Aktionen, die Senticor-Kunden oder unsere Dienstverfügbarkeit negativ beeinflussen könnten
✅ Halten Sie Schwachstellendetails vertraulich, bis wir angemessen Zeit hatten, das Problem zu beheben
✅ Folgen Sie den etablierten Kommunikationskanälen (security@senticor.ai)
✅ Nutzen Sie die Schwachstelle nicht aus, über das hinaus, was zur Demonstration des Problems erforderlich ist
Unsere Verpflichtungen Ihnen gegenüber
Wenn Sie uns eine Sicherheitslücke melden, verpflichten wir uns:
✅ Zeitnah zu antworten auf Ihre Meldung (innerhalb von 3 Werktagen)
✅ Sie auf dem Laufenden zu halten über unseren Fortschritt bei der Behebung der Schwachstelle
✅ Mit Ihnen zusammenzuarbeiten, um das Problem zu verstehen und zu reproduzieren
✅ Sie öffentlich zu würdigen (falls gewünscht), sobald das Problem behoben ist
✅ Keine rechtlichen Schritte einzuleiten gegen Forscher, die diese Richtlinien befolgen
Programmumfang
Im Umfang
Die folgenden Assets fallen in den Bereich der Sicherheitsforschung:
- senticor.ai und alle Subdomains (z.B. app.senticor.ai, api.senticor.ai)
- Senticor-Plattform und -Dienste, die unter unserer Infrastruktur bereitgestellt werden
- Von Senticor entwickelte Anwendungen mit Senticor-Branding
- APIs und Integrationen, die in unserer öffentlichen Dokumentation dokumentiert sind
Außerhalb des Umfangs
Folgendes ist nicht für verantwortungsvolle Offenlegung geeignet:
❌ Kundenanwendungen, die auf der Senticor-Plattform bereitgestellt werden (diese gehören unseren Kunden)
❌ Drittanbieterdienste und Abhängigkeiten (melden Sie diese direkt beim Anbieter)
❌ Physische Sicherheitstests oder Versuche, auf Senticor-Einrichtungen zuzugreifen
❌ Social Engineering von Senticor-Mitarbeitern, Auftragnehmern oder Kunden
❌ Denial of Service (DoS) oder Distributed Denial of Service (DDoS) Angriffe
❌ Automatisiertes Scannen, das übermäßigen Traffic oder Last erzeugt
❌ UI/UX-Probleme ohne Sicherheitsauswirkungen (z.B. Tippfehler, kosmetische Bugs)
❌ Probleme in veralteten Browsern oder nicht unterstützten Konfigurationen
❌ Öffentlich bekannte Schwachstellen in Drittanbieter-Software (es sei denn, Sie demonstrieren neuartige Ausnutzung in unserem Kontext)
Prozess zur Offenlegung von Schwachstellen
Unsere Reaktionszeitleiste
- Bestätigung: Innerhalb von 3 Werktagen nach Einreichung der Meldung
- Erstbewertung: Innerhalb von 7 Werktagen (Bestätigung von Gültigkeit und Schweregrad)
- Lösungszeitleiste: Variiert je nach Schweregrad (siehe Tabelle unten)
- Öffentliche Offenlegung: Koordiniert mit dem Melder nach Bereitstellung der Lösung
Schweregradklassifizierung
| Schweregrad | Beispiele | Ziellösung |
|---|---|---|
| Kritisch | Remote Code Execution, Authentifizierungsumgehung, direkter Datenverstoß | 7 Tage |
| Hoch | Privilegieneskalation, SQL-Injection, erhebliche Datenexposition | 30 Tage |
| Mittel | CSRF, XSS, indirekte Informationsoffenlegung | 90 Tage |
| Niedrig | Sicherheitsfehlkonfigurationen mit geringen Auswirkungen | 180 Tage |
Koordinierte Offenlegung
Wir glauben an koordinierte Offenlegung und werden mit Ihnen zusammenarbeiten, um:
- Einen angemessenen Zeitplan für die öffentliche Offenlegung zu vereinbaren
- Sicherheitshinweise für bedeutende Schwachstellen zu veröffentlichen
- Forscher zu würdigen, die anerkannt werden möchten
- Ihre öffentliche Offenlegung (Blogbeiträge, Konferenzvorträge) nach Bereitstellung der Fixes zu unterstützen
Bug-Bounty-Programm
Senticor evaluiert derzeit ein formelles Bug-Bounty-Programm. In der Zwischenzeit bieten wir möglicherweise:
- Öffentliche Anerkennung auf unserer Seite für Sicherheitsanerkennungen
- Swag und Dankeschön-Geschenke für hochwertige Meldungen
- Direkten Austausch mit unserem Sicherheitsingenieurteam
Hinweis: Wir bieten derzeit keine monetären Belohnungen an, aber wir schätzen verantwortungsvolle Offenlegung sehr und werden Ihre Beiträge anerkennen.
Sicherheitsanerkennungen
Wir danken den folgenden Sicherheitsforschern, die zur Verbesserung der Sicherheit von Senticor beigetragen haben:
Liste wird aktualisiert, sobald Forscher Schwachstellen melden
Fragen?
Wenn Sie Fragen zu dieser Richtlinie haben oder Klärung zum Umfang benötigen, kontaktieren Sie uns unter:
Für allgemeine Support-Anfragen (nicht sicherheitsrelevant) kontaktieren Sie uns bitte unter info@senticor.ai.
Rechtlicher Safe Harbor
Senticor betrachtet Sicherheitsforschung, die in Übereinstimmung mit dieser Richtlinie durchgeführt wird, als:
- Autorisiert in Übereinstimmung mit §§ 202a–202c StGB und der EU-Richtlinie 2013/40/EU sowie ähnlichen Gesetzen
- Ausgenommen von Einschränkungen in unseren Nutzungsbedingungen, die solche Aktivitäten andernfalls verbieten würden
- Rechtmäßig und hilfreich für die Sicherheit unserer Plattform und Kunden
Wir werden keine rechtlichen Schritte gegen Sicherheitsforscher einleiten, die:
- Diese Richtlinie zur verantwortungsvollen Offenlegung befolgen
- In gutem Glauben handeln
- Die Privatsphäre unserer Kunden oder Mitarbeiter nicht verletzen
- Unsere Systeme oder Daten nicht absichtlich beschädigen
Vielen Dank, dass Sie uns helfen, eine sicherere Plattform für vertrauenswürdige KI zu bauen.
Zuletzt aktualisiert: 27.09.2025