Sicherheit
CyberOrigen nimmt Sicherheit ernst. Diese Seite beschreibt unsere Sicherheitspraktiken und wie Schwachstellen gemeldet werden.
Meldung von Schwachstellen
Wenn Sie eine Sicherheitslücke entdecken, melden Sie diese bitte verantwortungsvoll:
Email: [email protected]
Was zu Berücksichtigen ist
- Beschreibung der Schwachstelle
- Schritte zur Reproduktion
- Potenzielle Auswirkungen
- Vorgeschlagene Korrekturen (optional)
Reaktionszeitplan
| Aktion | Zeitrahmen |
|---|---|
| Bestätigung | Innerhalb von 24 Stunden |
| Erstbewertung | Innerhalb von 72 Stunden |
| Status-Update | Wöchentlich |
| Lösungsziel | 90 Tage (variiert je nach Schweregrad) |
Sicherheitsmaßnahmen
Authentifizierung
- JWT-Tokens: Kurzlebige Zugriffstoken (standardmäßig 1 Stunde)
- MFA: Zeitbasierte Einmalpasswörter (TOTP)
- Passwort-Richtlinie: Mindestens 12 Zeichen, Komplexitätsanforderungen
- Rate Limiting: Schutz vor Brute-Force-Angriffen
Verschlüsselung
- Im Ruhezustand: AES-256-GCM für sensible Datenbankfelder
- Bei Übertragung: TLS 1.3 für alle Verbindungen
- Secrets: Verwalteter Secrets-Service für Produktions-Credentials
Zugriffskontrolle
- RBAC: Rollenbasierte Zugriffskontrolle
- Multi-Tenancy: Datenisolation auf Organisationsebene
- Audit-Protokollierung: Alle Aktionen werden protokolliert
Infrastruktur
- Cloud: Produktion auf Unternehmens-Cloud-Infrastruktur gehostet
- Container: Containerisierte Bereitstellung mit minimalen Basis-Images
- Abhängigkeiten: Automatisches Schwachstellen-Scanning
Sicherheitsrichtlinie
Für die vollständige Sicherheitsrichtlinie kontaktieren Sie [email protected].
Bug Bounty
Wir schätzen Sicherheitsforscher, die helfen, CyberOrigen sicher zu halten.
Was wir anbieten:
- Anerkennung in unseren Sicherheitshinweisen (mit Erlaubnis)
- Schriftliche Anerkennung gültiger Berichte
Wir bieten derzeit keine monetären Belohnungen an.
Sicherheitsupdates
Sicherheitspatches werden veröffentlicht, sobald sie fertig sind:
- Kritisch: Sofortige Veröffentlichung
- Hoch: Innerhalb von 7 Tagen
- Mittel: Innerhalb von 30 Tagen
- Niedrig: Nächstes geplantes Release
Sicherheitsankündigungen werden in unserer Dokumentation veröffentlicht und direkt an betroffene Kunden kommuniziert.