Responsible Disclosure Policy

Geltungsbereich (Scope)

Im Scope sind alle Web- und API-Dienste unter theraplanner.de und *.theraplanner.de sowie der Web-Client. Mobile Deep/Universal Links sind eingeschlossen, soweit sie auf unsere Infrastruktur führen.

Nicht im Scope

• DoS/DDoS, Rate-Limit-Exhaustion, automatisierte Lasttests
• Social Engineering, physische Angriffe, Angriffe auf Dritte/Provider
• Reine Best-Practice-Hinweise ohne verwertbaren Impact (z. B. fehlende Security-Header auf statischen Seiten)
• Offenlegung von Versionen/Banner, Clickjacking auf nicht-sensiblen Seiten, SPF/DMARC-Hinweise ohne direkten Sicherheitsbezug

Regeln für Tests

Du darfst Tests durchführen, die eine Schwachstelle belegen, ohne sie auszunutzen. Nutze eigene Testdaten, keine produktiven Patientendaten. Verzichte auf das Anlegen großer Datenmengen und auf automatisierte Scans, die Dienste beeinträchtigen könnten.

Offenlegung & Zeitrahmen

Wir bestätigen den Eingang innerhalb von 3 Werktagen, bewerten innerhalb von 7 Werktagen und beheben nach Priorität. In der Regel streben wir eine Veröffentlichung binnen 90 Tagen an – bei kritischen Themen schneller, bei komplexen Abhängigkeiten in Abstimmung mit dir.

Safe Harbor & Vertraulichkeit

Wenn du im Rahmen dieser Policy handelst, sichern wir dir Good-Faith-Schutz zu: keine rechtlichen Schritte, vertrauliche Behandlung deiner Daten und regelmäßige Status-Updates. Details veröffentlichen wir nur nach gemeinsamer Freigabe.

Anerkennung & Bounties

Aktuell bieten wir keine formale Bug-Bounty an. Für wertvolle Hinweise bedanken wir uns gern öffentlich in der Hall of Fame – und je nach Fall auch mit einem kleinen Dankeschön (ohne Rechtsanspruch).

Fragen? Schreib uns: [email protected]. Für Datenschutzthemen: [email protected].