Zuletzt aktualisiert: 22. Mai 2026
Wir begrüssen Meldungen von Sicherheitsforschern. Diese Seite beschreibt, wie eine Sicherheitslücke gemeldet wird und was Sie von unserer Antwort erwarten können. Das maschinenlesbare Äquivalent gemäss RFC 9116 findet sich unter /.well-known/security.txt.
Schreiben Sie an security@upinity.com mit: Beschreibung der Sicherheitslücke, betroffener Endpunkt oder Komponente, Reproduktionsschritte und (falls zutreffend) ein Proof-of-Concept. Bitte machen Sie Schwachstellen nicht öffentlich, bevor wir Gelegenheit hatten, sie zu bestätigen und zu beheben.
Im Scope: upinity.com (Marketing-Site), app.upinity.com (SaaS-Anwendung), go.powerb.swiss (Mautic-Instanz, die unsere Formulare verarbeitet). Ausserhalb des Scope: Social Engineering oder Phishing von POWERB-Mitarbeitern, Denial-of-Service- oder volumetrische Angriffe, Schwachstellen in Drittanbieter-Diensten, von denen wir abhängen (Stripe, Hosting-Provider — bitte direkt dort melden).
Wir bestätigen neue Meldungen innerhalb von 2 Werktagen. Erste Bewertung und Severity-Klassifizierung innerhalb von 5 Werktagen. Der Zeitplan für Fix oder Mitigation hängt von der Severity ab und wird in unserer Bestätigungsantwort kommuniziert.
Wir betreiben derzeit kein bezahltes Bug-Bounty-Programm. Forscher, die gültige Schwachstellen verantwortungsbewusst melden, werden in einer öffentlichen Hall of Fame anerkannt (mit ihrer Zustimmung) und erhalten ein schriftliches Anerkennungsschreiben.
Wir streben Alignment mit SOC-2-Kontrollen und ISO-27001-Praktiken an. DSGVO-/nDSG-Konformität ist in unserer Datenschutzerklärung detailliert beschrieben. Spezifische Compliance-Zertifikate können unter NDA bei sales@upinity.com angefordert werden.
Wir verfolgen Forscher rechtlich nicht, wenn sie dieser Richtlinie folgen, in gutem Glauben handeln, nicht über das zur Demonstration der Schwachstelle Notwendige hinaus auf Daten zugreifen oder diese ändern, und die Verfügbarkeit des Dienstes nicht beeinträchtigen.