Sicherheit & Responsible Disclosure

E-Mail: security@pflichtpilot.app

Maschinell auslesbare Kontaktdaten gemäß RFC 9116: /.well-known/security.txt

Wir bestätigen den Eingang innerhalb von 5 Werktagen. Wir prüfen den Bericht, koordinieren bei Bestätigung einen Veröffentlichungs-Zeitplan, und nennen dich auf Wunsch im Changelog als Finder.

Bei kritischen Befunden priorisieren wir den Fix und informieren dich vor dem Release.

Wir betreiben kein Bug-Bounty-Programm. Es gibt keine Geldprämien, keine festen SLA-Reaktionszeiten und keine automatische Plattform-Abwicklung. PflichtPilot wird aktuell von einer Person gebaut — bitte verstehe Antwortzeiten in diesem Kontext.

Konkrete Reports mit Repro-Schritten. Wenn möglich gegen die Staging-Umgebung (staging.pflichtpilot.app) testen, nicht gegen die Produktion.

Hinweise auf: Authentifizierungs-/Autorisierungslücken, Dateninjektion, Zugriff auf fremde Konten, RLS-Bypass, Stripe-Endpoint-Manipulation, XSS, CSRF, Open Redirect, exponierte Secrets.

Tests, die fremde Konten oder Daten betreffen. Denial-of-Service-Versuche. Social Engineering gegen Personen oder Support. Automatisierte Vulnerability-Scans gegen die Produktion ohne vorherige Absprache. Berichte über fehlende „Defense-in-Depth“-Header oder rein theoretische Risiken ohne reproduzierbaren Exploit-Pfad.

In Scope: pflichtpilot.app, staging.pflichtpilot.app, alle Subdomains, die Web-App-Oberfläche, die Edge Functions, die Stripe-Integration.

Out of Scope: Drittsysteme (Supabase-Plattform, Stripe-Plattform, Cloudflare-Plattform, Hosting-Provider) — bitte direkt dort melden.