Trust
Bug Bounty Disclosure Policy
Wir begrüßen koordinierte Schwachstellen-Offenlegung. Meldungen an security@legalaudit.ch.
In Scope
- legalaudit.ch-Domain und Subdomains der LegalAudit SA.
- Authentifizierte und nicht authentifizierte Anwendungslogik.
- Authorisierungs-/Tenancy-Grenzen.
- Server-side Injection, SSRF, Deserialisierung, Race Conditions.
- Dossier-Integrität, Audit-Chain-Tamper-Primitive.
Out of Scope
- DoS, volumetrische Angriffe, Brute Force.
- Self-XSS, fehlende Best-Practice-Header ohne funktionierenden Exploit.
- Social Engineering von LegalAudit-Personal oder Kunden.
- Physische Angriffe auf Büros oder Rechenzentren.
- Drittdienste (Stripe, AWS) — direkt dort melden.
Reward-Tiers (Platzhalter — formelles Programm Q3 2026)
| Schweregrad | Reward (CHF) |
|---|---|
| Niedrig | 100+ |
| Mittel | 500+ |
| Hoch | 2000+ |
| Kritisch | 5000+ |
Reporting
- E-Mail an security@legalaudit.ch mit klaren Reproduktionsschritten.
- PGP-Schlüssel für jegliche Payloads mit Kundendaten verwenden.
- Keine Datenausleitung über das für den Nachweis Nötige hinaus.
- 90-Tage-Fix-Frist vor öffentlicher Disclosure einhalten.
Forschung in gutem Glauben innerhalb dieser Policy zieht keine rechtlichen Schritte nach sich.
Informationsdokument der LegalAudit SA. Aussagen spiegeln den aktuellen Stand der Kontrollen wider und werden quartalsweise geprüft. Keine vertragliche Zusicherung, ausser durch unterzeichneten Vertrag. Verbindliche Bedingungen: AVV bei privacy@legalaudit.ch anfordern.