Vulnerability-Disclosure-Policy

Verantwortliche Schwachstellen-Meldung

Stand: 2026-06-01  ·  Verantwortlich: Geschäftsleitung Kre8ive Evolution GmbH i.G.

1. Geltungsbereich

Diese Policy regelt die verantwortliche Meldung von Sicherheits- Schwachstellen, die in der NexDeck Platform (nexdeck.app) entdeckt wurden.

2. Meldekanal

E-Mail: security@nexdeck.app

PGP-Public-Key: derzeit nicht hinterlegt — wird in Q3 2026 ergänzt.

Vorzugssprache: Deutsch oder Englisch.

3. Was wir bitten

  • Eine technische Beschreibung der Schwachstelle (Proof-of- Concept, Reproduktion).
  • Den betroffenen URL/Endpoint oder Feature.
  • Den geschätzten Schweregrad (CVSS v3.1 oder qualitativ).
  • Ihre Kontaktdaten für Rückfragen.

4. Was wir versprechen

  • Bestätigung Ihrer Meldung binnen 5 Werktagen.
  • Status-Update alle 14 Tage bis zum Resolution.
  • Behebung und Disclosure-Plan in Abstimmung mit Ihnen (Coordinated Disclosure).
  • Nennung in der Hall of Fame (s. u.), falls Sie das wünschen.

5. Safe Harbor (für Sicherheitsforschende)

Solange Ihre Forschung im Einklang mit dieser Policy steht — kein Datenzugriff auf Dritte, keine Datenexfiltration, keine Service-Disruption — werden wir:

  • keine zivilrechtlichen Ansprüche geltend machen,
  • keine strafrechtlichen Anzeigen erstatten,
  • keine Verbindungs-Sperren oder Account-Sanktionen verhängen.

6. Out of Scope

  • Social-Engineering-Angriffe gegen Mitarbeitende oder Kunden.
  • Physische Angriffe auf NexDeck-Infrastruktur.
  • DoS/DDoS-Angriffe (auch zu Test-Zwecken).
  • Versionen vor dem aktuellen Release.

7. Bug-Bounty

Aktuell kein finanzielles Bounty-Programm. Anerkennungs-Liste (Hall of Fame) als nicht-monetäre Anerkennung.

8. Coordinated-Disclosure-Frist

Wir bitten um eine Standard-Embargo-Frist von 90 Tagen ab Bestätigung der Meldung bis zur öffentlichen Disclosure, um Behebung und Tenant-Notification zu ermöglichen. Bei aktiver Ausnutzung in-the-wild kürzere Fristen nach Absprache möglich.

9. Hall of Fame

(Aktuell leer — wir freuen uns auf den ersten Eintrag.)

10. Bezug zur NIS2-Richtlinie

Diese Policy unterstützt die Erfüllung der Maßnahmen nach Art. 21 Abs. 2 lit. e NIS2-Richtlinie (Sicherheit bei Beschaffung, Entwicklung, Wartung) und integriert sich in unser internes Incident-Response-Programm. NexDeck ist nicht direkt NIS2-pflichtig (siehe interne Selbstklassifizierung).

Anbieter: Kre8ive Evolution GmbH i.G. (in Gründung — HRB-Eintragung ausstehend). Bis zur Eintragung gilt für rechtsgeschäftliche Handlungen § 11 Abs. 2 GmbHG (Handelndenhaftung).

Selbstauskunft, keine Zertifizierung im Sinne von Art. 24 NIS2-Richtlinie. Stand: 2026-06-01.

Verweise

← ImpressumDatenschutzerklärungNutzungsbedingungen (AGB)Auftragsverarbeitung (AVV)Unterauftragsverarbeiter