Responsible Disclosure Policy

1. Geltungsbereich (Scope)

Diese Richtlinie gilt für alle von ZATORI AI betriebenen Dienste:

• In Scope: zatoriai.com, app.zatoriai.com, api.zatoriai.com, alle Subdomains
• Out of Scope: Drittanbieter (Stripe, Supabase, Cloudflare), Social Media, physische Sicherheit

2. Schwachstelle melden

3. Was wir erwarten

• ✓ Handeln Sie in gutem Glauben — keine Datenschutzverletzungen, kein Datenverlust.
• ✓ Geben Sie uns mindestens 90 Tage für die Behebung (Coordinated Disclosure).
• ✓ Keine Zugriffe auf Daten anderer Benutzer.
• ✓ Keine DoS- oder Social-Engineering-Angriffe.
• ✓ Reichen Sie ausreichende Reproduktionsschritte ein.

4. Was Sie von uns erwarten können

• → Bestätigung innerhalb 48h
• → Status-Updates alle 5 Werktage
• → Legal Safe Harbor — keine rechtlichen Schritte bei Einhaltung der Policy
• → Anerkennung in unserer Hall of Fame
• → Behebung innerhalb 30 Tagen (kritisch) / 90 Tagen (niedriger)

5. security.txt

Maschinenlesbar: /.well-known/security.txt (gemäß RFC 9116).