# Ma-Management Coordinated Vulnerability Disclosure
# RFC 9116 compliant security.txt
# Canonical: https://ma-management.de/.well-known/security.txt

Contact: mailto:security@ma-management.de
Expires: 2027-04-26T00:00:00.000Z
Encryption: https://ma-management.de/public-pgp.asc
Preferred-Languages: de, en
Canonical: https://ma-management.de/.well-known/security.txt
Policy: https://ma-management.de/security-policy
Acknowledgments: https://ma-management.de/security/acknowledgments

# PGP-Fingerprint: AA96 055F 9DD9 AB37 08D2  3A19 CE1D 7CA1 5116 3F44
# Der Public-Key ist ausserdem unter /.well-known/pgp-key.txt gespiegelt.
# SLA: Ack <72h (werktags), Fix-Plan HIGH/CRITICAL <14d, MEDIUM/LOW <30d.
# Full Disclosure-Policy: siehe Canonical URL oben.
#
# Bug-Bounty-Programm-Status (SEC-AUDIT M22, 2026-04-26):
# Aktuell KEIN monetaeres Bug-Bounty-Programm. Wir betreiben Coordinated
# Vulnerability Disclosure (CVD) gemaess RFC 9116 — verantwortungsvolle
# Hinweise auf Schwachstellen werden in der Acknowledgments-Hall-of-Fame
# gewuerdigt. Eine spaetere Aktivierung eines bezahlten Programms (z.B. via
# YesWeHack/Intigriti) ist geplant, sobald die Plattform aus der Pre-Release-
# Phase (v0.x) in v1.0 GA ueberfuehrt ist.
#
# Vollstaendige Bug-Bounty-Roadmap inkl. Aktivierungs-Trigger und
# Bounty-Staffel: docs/security/bug-bounty.md (interner Tracker).
# Schedule fuer externe Pentests: docs/security/pentest-schedule.md
# (Erst-Test geplant Q3/2026 vor CRA-Stichtag 11.09.2026).