Zum Hauptinhalt springen
satooB

Sicherheitsrichtlinie

Zuletzt aktualisiert: 6. Mai 2026Inkrafttretensdatum: Mit der Annahme

Wir nehmen die Sicherheit unserer Nutzerinnen und Nutzer und unserer Infrastruktur ernst und begrüßen Meldungen von unabhängigen Sicherheitsforschern, die in gutem Glauben handeln. Diese Richtlinie beschreibt, wie wir Schwachstellenmeldungen entgegennehmen, triagieren und bearbeiten — und was wir im Gegenzug von Forschenden erwarten.

Eine maschinenlesbare Fassung der nachstehenden Kontaktdaten ist gemäß RFC 9116 unter /.well-known/security.txt veröffentlicht.

1. Unsere Verpflichtung

Wir verpflichten uns :

  • einen klaren und überwachten Kanal für Schwachstellenmeldungen bereitzustellen ;
  • eingehende Meldungen zeitnah zu bestätigen und sorgfältig zu behandeln ;
  • Offenlegungs-Zeitpläne transparent zu koordinieren ;
  • keine rechtlichen Schritte gegen Forschende einzuleiten, die diese Richtlinie einhalten ;
  • Forschende auf ihren Wunsch in unserer Hall of Fame zu nennen.

2. Geltungsbereich

Im Geltungsbereich :

  • Die satooB-Plattform — satoob.com und alle von Konatamo LLC betriebenen Subdomains, einschließlich der öffentlichen Marketing-Website, der Dashboards, des Händler-Kassenportals, der In-Store-Kiosk-Oberflächen und der öffentlichen Landingpages für Voucher, Cashback und Quests.
  • Die öffentlichen satooB-APIs und Webhooks, die unter /api/* dokumentiert sind, sowie die entsprechenden Server Actions der Plattform.
  • Quellcode-Repositories unter der Organisation Konatamo auf GitHub (satoob und alle weiteren öffentlichen Repositorien, sobald veröffentlicht).

Außerhalb des Geltungsbereichs :

  • Drittdienstleister, von denen wir abhängig sind, aber die wir nicht kontrollieren (Vercel, Supabase, Stripe, Cloudflare, Resend, PostHog, Mercury Bank, Hostinger, Google Workspace). Bitte melden Sie Schwachstellen dieser Dienste direkt an die Sicherheitsteams der jeweiligen Anbieter.
  • Volumetrische Angriffe (Denial of Service, Distributed Denial of Service, Layer-7-Fluten).
  • Social Engineering von Konatamo-LLC-Mitarbeitern, Partnern oder Kunden.
  • Physische Angriffe auf unsere Büros oder die Standorte unserer Lieferanten.
  • Meldungen über fehlende Security-Header, fehlende Rate-Limits oder fehlende TLS-Konfigurationen, die keine ausnutzbaren Auswirkungen auf Nutzerdaten, Kontointegrität oder Plattformverfügbarkeit haben.

3. Wie melden

Bitte schreiben Sie an security@satoob.com und fügen Sie Folgendes bei :

  1. Eine klare Beschreibung der Schwachstelle, einschließlich des betroffenen Endpunkts oder der betroffenen Komponente.
  2. Reproduktionsschritte — möglichst konkret und mit minimalem Proof-of-Concept.
  3. Die von Ihnen eingeschätzte Auswirkung (Vertraulichkeit / Integrität / Verfügbarkeit) und eine Empfehlung zum Schweregrad (Kritisch / Hoch / Mittel / Niedrig).
  4. Ihre Kontaktdaten und ein gewünschtes Pseudonym, falls wir Sie in der Hall of Fame nennen sollen.

Ein PGP-Schlüssel für verschlüsselte Meldungen kann zukünftig unter /.well-known/pgp-key.txt veröffentlicht werden ; bis dahin verzichten Sie bitte darauf, rohe Exploit-Details in unverschlüsselten E-Mails zu übermitteln.

4. Unsere Reaktion

Wenn wir eine Meldung erhalten :

  • Innerhalb von fünf (5) Werktagen — bestätigen wir den Eingang Ihrer Meldung.
  • Innerhalb von fünfzehn (15) Werktagen — geben wir eine erste Triage zurück, einschließlich einer vorläufigen Einschätzung des Schweregrads und etwaiger klärender Rückfragen.
  • Innerhalb von neunzig (90) Tagen — beheben wir die Schwachstelle, stellen den Patch bereit und bestätigen Ihnen die Schließung des Vorgangs. Sollte die Behebung mehr Zeit erfordern (Abhängigkeiten von Dritten, nicht-triviale Architekturänderung), halten wir Sie über den Fortschritt auf dem Laufenden.

5. Safe Harbor

Konatamo LLC wird keine rechtlichen Schritte gegen Sie einleiten oder unterstützen für Sicherheitsforschung, die in gutem Glauben und in Übereinstimmung mit dieser Richtlinie durchgeführt wird, einschließlich (ohne Einschränkung) :

  • Zugriff nur auf Systeme im Geltungsbereich und nur auf die zur Demonstration der Schwachstelle minimal erforderlichen Daten.
  • Vermeidung jeglicher Handlung, die andere Nutzerinnen und Nutzer beeinträchtigen würde (z. B. Denial-of-Service-Tests in der Produktion, Privilegieneskalation, die in fremde Mandanten übergreift, Exfiltration von mehr Daten als zum Nachweis erforderlich).
  • Verzicht auf öffentliche Offenlegung der Schwachstelle, bevor wir eine angemessene Gelegenheit zur Behebung hatten.
  • Rückgabe, Vernichtung oder Verzicht auf die Offenlegung jeglicher während der Forschung eingesehener Daten.

Sollten Sie unsicher sein, ob ein bestimmtes Vorgehen unter den Safe Harbor fällt, kontaktieren Sie uns bitte vorab unter security@satoob.com.

6. Bug-Bounty-Programm

Wir betreiben derzeit kein bezahltes Bug-Bounty-Programm. Wir behalten uns vor, künftig eines zu prüfen ; in der Zwischenzeit :

  • Anerkennung — bedeutsame Meldungen können auf Wunsch des Forschenden in unserer Hall of Fame (Abschnitt 7) genannt werden.
  • Swag und Gutschriften — wenn eine Meldung zu einer wesentlichen Plattformverbesserung führt, können wir nach unserem Ermessen Konatamo-Swag, satoPOINTS-Gutschriften oder ein öffentliches Anerkennungsschreiben anbieten.
  • Koordinierte Offenlegung — wir verfassen gerne nach Bereitstellung des Fixes gemeinsam mit dem Forschenden einen Disclosure-Beitrag.

7. Hall of Fame

In diesem Abschnitt würdigen wir öffentlich Forschende, deren verantwortungsvolle Offenlegung die Sicherheit der satooB-Plattform verbessert hat. Die untenstehende Liste ist derzeit leer — wir freuen uns darauf, Sie bald nennen zu dürfen.

8. Kontakt

Postanschrift (für Zustellungen) : Konatamo LLC, 1209 Mountain Road Pl NE, Ste R, Albuquerque, NM 87110, USA.