Responsible Disclosure Policy
Tirugo nimmt Sicherheitshinweise ernst. Diese Policy beschreibt, wie Sie Schwachstellen in unseren Systemen verantwortungsvoll melden können.
Scope
In den Geltungsbereich dieser Policy fallen:
tirugo.ch(Homepage)portal.tirugo.ch(Kundenportal, sobald live)api.tirugo.ch(API-Endpoints)- Alle Subdomains von
tirugo.ch
Nicht im Scope:
- Angriffe auf physische Infrastruktur von Tirugo
- Social Engineering gegen Tirugo-Mitarbeitende
- Denial-of-Service-Angriffe (auch zu Testzwecken)
- Dienste Dritter (Cloudflare, Hetzner, Resend, etc.)
Ihre Zusagen
Wenn Sie eine Schwachstelle melden, bitten wir Sie:
- Gefundene Schwachstellen nicht auszunutzen, ausser zum notwendigen Nachweis.
- Keine Daten Dritter zu exfiltrieren, zu verändern oder zu löschen.
- Uns eine angemessene Frist zur Behebung einzuräumen (in der Regel 90 Tage), bevor Sie die Schwachstelle öffentlich kommunizieren.
- Die Schwachstelle vertraulich zu behandeln, bis sie behoben ist.
Unsere Zusagen
Wir verpflichten uns:
- Innerhalb von 5 Werktagen eine Empfangsbestätigung zu senden.
- Innerhalb von 15 Werktagen eine erste inhaltliche Einschätzung zu geben.
- Sie über den Fortschritt der Behebung auf dem Laufenden zu halten.
- Keine rechtlichen Schritte gegen Personen einzuleiten, die in gutem Glauben und im Rahmen dieser Policy handeln.
- Ihren Beitrag auf Wunsch in unseren Security Acknowledgments zu würdigen (oder anonym zu halten).
Bug-Bounty
Tirugo betreibt aktuell kein öffentliches Bug-Bounty-Programm. In ausgewählten Fällen würdigen wir herausragende Meldungen individuell (Gutscheine, Anerkennung, Einladung in private Beta-Programme). Geldprämien sind nicht garantiert.
So melden Sie eine Schwachstelle
Senden Sie eine E-Mail – idealerweise verschlüsselt – an: security@tirugo.ch
PGP-Key-Fingerprint: wird bei Bedarf auf Anfrage bereitgestellt.
Inhalt bitte:
- Betroffene URL / Komponente
- Art der Schwachstelle (z. B. XSS, SQLi, IDOR, Auth-Bypass)
- Schritte zur Reproduktion
- Auswirkungen und mögliche Angriffsvektoren
- Optional: Vorschlag zur Behebung
- Ihre Kontaktinformationen (für Rückfragen und Anerkennung)
Maschinenlesbar
Security-Kontakt nach RFC 9116 unter: /.well-known/security.txt
Stand: 17. April 2026