🏴󠁧󠁢󠁥󠁮󠁧󠁿 🇨🇭
Transparenz

Allgemeine Geschäftsbedingungen (AGB) der Hacky AG (in Gründung)

Disclaimer

Wir arbeiten aktuell an unseren AGB und werden diese in den kommenden Wochen gegebenenfalls abändern.

Die unten publizierten allgemeinen Geschäftsbedingungen sind provisorisch, bis zur finalen Publikation, gültig.

  1. Geltungsbereich

    Diese allgemeinen Geschäftsbedingungen (AGB) gelten für alle Verträge, Dienstleistungen und Angebote der Hacky AG (in Gründung), vertreten durch den Geschäftsführer Philipp Brügger, Melchrütistrasse 31, 8304 Wallisellen, Schweiz. Die Hacky AG (in Gründung) schliesst alle Verträge ab und übernimmt alle Verpflichtungen und Rechte. Nach der Eintragung ins Handelsregister gehen alle Verpflichtungen und Rechte auf die Hacky AG über.

  2. Vertragsgegenstand

    Hacky bietet eine Plattform für Sicherheitsforschung und Bug-Bounty-Programme an. Sicherheitsforscher (nachfolgend „Forscher“ genannt) können Sicherheitslücken in den Systemen von Unternehmen (nachfolgend „Unternehmen“ oder „Kunden“ genannt) aufdecken und melden. Die Dienstleistungen umfassen die Vermittlung zwischen Forschern und Unternehmen sowie die Bereitstellung der technischen Infrastruktur zur Durchführung von Sicherheitstests. Die allgemeinen Geschäftsbedingungen gelten gleichermassen für Hacky, wie auch die Plattform selbst.

  3. Leistungen der Plattform

    Die Plattform bietet Unternehmen eine Bug-Bounty-Plattform, über welche das Unternehmen sein individuelles Bug-Bounty-Programm betreiben kann. Dies umfasst die folgenden Leistungen, falls im gewählten Service-Typ der Plattform nicht anders angegeben:

    • Überprüfung der Identität der Forscher entsprechend den entsprechenden und benötigten Identitätsprüfungsstufen.
    • Zusicherung, dass nur jene Forscher an einem Bug-Bounty-Programm teilnehmen, welche die allgemeinen und je Unternehmen individuellen Nutzungsbestimmungen und Regeln akzeptiert haben.
    • Prüfung von durch Forscher gemeldeten Schwachstellen hinsichtlich Neuheit und Nachvollziehbarkeit.
    • Überprüfung der initial festgelegten Einstufung der Schwere von neuen und nachvollziehbaren Schwachstellen.
    • Bereitstellung einer Diskussionsplattform zwischen dem Unternehmen und dem Forscher für Rückfragen bei gemeldeten Schwachstellen.
    • Sichere Aufbewahrung der Information über Schwachstellen bis zu deren Behebung.
    • Information über bereits gefundene Schwachstellen für Forscher, die am betreffenden Bug-Bounty-Programm teilnehmen (um Mehrfachmeldungen auszuschliessen).
    • Auszahlung von Belohnungen für neue und nachvollziehbare Schwachstellen entsprechend der individuellen, durch Hacky definierten, Bounty-Liste des Unternehmens.
    • Wenn bei der Bewertung einer Schwachstelle Unsicherheiten auftreten, kontaktiert die Plattform das Unternehmen. Das Unternehmen kann anschliessend für die Bewertung hilfreiche Informationen übermitteln. Im Zweifelsfall entscheidet die Plattform auf Basis der von Forschern und Unternehmen gelieferten Informationen. Der Entscheid ist durch die Plattform zu begründen.

  4. Registrierung und Benutzerkonto

    Registrierung: Nutzer müssen sich registrieren, um die Dienste von Hacky nutzen zu können. Die Registrierung ist Unternehmen vorbehalten, die autorisierte Vertreter zur Anmeldung ihrer IT-Infrastruktur bestimmen, sowie Forschern, die Sicherheitslücken melden möchten.

    Verifizierung: Forscher müssen sich mit einem gültigen amtlichen Ausweisdokument identifizieren, wenn dies von Hacky oder einem Mitarbeiter verlangt wird.

    Pflichten: Forscher verpflichten sich, gefundene Sicherheitslücken schnellstmöglich und nach bestem Wissen und Gewissen zu melden.

  5. Nutzung der Plattform

    Verhaltensregeln: Nutzer müssen die gesetzlichen Bestimmungen und die spezifischen Richtlinien der Bug-Bounty-Programme einhalten. Verstösse gegen die Regeln führen zu einer unbefristeten Sperrung der betroffenen Nutzerkonten. Es gelten die allgemeinen Richtlinien für Bug Bounty Plattformen, wie:

    • Kein unautorisierter Zugriff auf Systeme ausserhalb des vereinbarten Umfangs.
    • Vertrauliche Behandlung aller entdeckten Schwachstellen.
    • Keine absichtliche Schädigung oder Unterbrechung der Systeme.

    Verstösse: Verstösse gegen die Nutzungsbedingungen führen zu einer sofortigen und unbefristeten Sperrung des Kontos. Betroffene Nutzer dürfen sich nicht erneut registrieren.

  6. Pflichten der Forscher

    Um an einem Bug-Bounty-Programm über die Plattform teilzunehmen, müssen sich Forscher mindestens mit Vor- und Nachname, Post-Adresse, E-Mail-Adresse und Telefonnummer registrieren und dabei die vorliegenden Nutzungsbestimmungen akzeptieren. Es gilt ein Mindestalter von 18 Jahren. Mit der Annahme der Nutzungsbestimmungen sichern die Forscher zu, mindestens 18 Jahre alt zu sein. Für die Auszahlung einer Belohnung ist zudem die Angabe eines auf ihren Namen lautenden Bankkontos (IBAN plus Name und Post-Adresse) notwendig. Hacky behält es sich vor, vor der ersten Auszahlung der Belohnung eine Prüfung der Identität mittels Kontrolle eines amtlichen Ausweises und/oder einer Bestätigung des Wohnsitzes vorzunehmen. Die Belohnung kann bis zur erfolgreichen Überprüfung durch Hacky zurückzuhalten werden.

    Forscher müssen die jeweiligen individuellen Bestimmungen eines jeden Bug-Bounty-Programms, an welchem sie teilnehmen möchten, akzeptieren. Diese können zusätzlich zu den nachfolgend aufgelisteten unerlaubten Hacking-Methoden weitere Hacking-Methoden untersagen und auch sonstige Bedingungen aufstellen, welche über die vorliegenden Nutzungsbestimmungen hinausgehen.

    Forscher sind für ihren Account verantwortlich und müssen sicherstellen, dass die Zugangsdaten für Dritte unzugänglich sind. Mit dem Akzeptieren der Nutzungsbestimmungen willigen Forscher in die Weitergabe ihrer Kontaktdaten an die Unternehmen der Bug-Bounty-Programme, an denen sie teilnehmen, ein. Eine Ausnahme bildet dabei, wenn ein Forscher eine Meldung ausdrücklich anonym übermittelt. Hacky behält sich vor, die Kontaktdaten bei Verstössen gegen das anwendbare Recht oder die Nutzungsbestimmungen mit den zuständigen Behörden zu teilen.

    Forscher verpflichten sich, keine Informationen, die sie über die Platform oder anderweitig von Hacky oder deren Kunden direkt erhalten, an Dritte weiterzugeben und diese unbefristet vertraulich zu behandeln.

    Forscher verpflichten sich, Informationen über gefundene Schwachstellen ausschliesslich über das dafür vorgesehene Meldeformular der Plattform und nicht an anderen Orten zu dokumentieren. Sie verpflichten sich darüber hinaus, die gefundenen Schwachstellen 90 Tage nach Meldung auf der Plattform geheim zu halten. Schliesslich verpflichten sie sich dazu, Daten der Unternehmen, an die sie im Rahmen eines Bug-Bounty-Programms herangekommen sind, auf die Plattform hochzuladen sowie allfällige lokale Kopien anschliessend zu löschen und nicht weiterzuverbreiten.

    Forscher verpflichten sich, von Methoden abzusehen, welche negative Auswirkungen auf die geprüften Applikationen bzw. deren Benutzer haben könnte, ausser es wird im Scope des betreffenden Programmes ausdrücklich erlaubt. Dazu gehören insbesondere:

    • Social Engineering
    • Spamming
    • Phishing
    • Denial-of-Service-Attacken oder andere Bruteforce-Attacken
    • Physische Attacken

    Forscher müssen die Schwachstellensuche sofort abbrechen, wenn sie feststellen, dass ihr Verhalten zu einer signifikanten Beeinträchtigung (negative Auswirkungen auf die regulären Benutzer oder auf die Betreiber) des operativen Betriebs der Plattform oder des Services führt.

  7. Pflichten der Unternehmen

    Bei der Einrichtung eines Bug-Bounty-Programms über die Plattform müssen Unternehmen den Scope des Programmes definieren. Der Scope definiert, für welche Services des Unternehmens das Bug-Bounty-Programm gelten soll. Dazu können sie insbesondere bestimmte Domains und/oder Unterverzeichnisse in den Scope aufnehmen oder vom Scope ausschliessen. Die weiteren für den Scope benötigten Angaben ergeben sich aus dem entsprechenden Formular. Hacky gibt dazu Vorschläge, garantiert aber keine Vollständigkeit oder Korrektheit der Auflistungen.

    Mit der Annahme der Nutzungsbestimmungen erteilen die Unternehmen ihre Einwilligung in die Anwendung von Hacking-Methoden durch Forscher auf die von ihnen bezeichneten Webseiten und Software und von ihnen ausgeschriebener IT-Infrastruktur. Ausgenommen sind die unter Ziff. ‎6 und im Bug-Bounty-Programm aufgelisteten Methoden. Aufgrund der Einwilligung der Unternehmen entfällt das Strafbarkeitsmerkmal der Unbefugtheit und damit die Strafbarkeit der Forscher mit Blick auf die Tatbestände in Art. 143 StGB (Unbefugte Datenbeschaffung) und Art. 143bis StGB (Unbefugtes Eindringen in ein Datenverarbeitungssystem).

    Unternehmen verpflichten sich zur Zahlung der Preise gemäss Preisliste für die Dienstleistungen der Plattform sowie einer von ihnen gewählten Summe, die im Falle des Entdeckens von neuen und nachvollziehbaren Schwachstellen für die Bezahlung der Forscher als Bounty eingesetzt wird. Der Preis für die Dienstleistungen der Plattform und die für Belohnungen vorgesehene Summe sind vor dem Start eines Bug-Bounty-Programms an die Plattformbetreiberin zu überweisen oder z.B. in Form einer Purchase Order (PO) zuzusichern. Die Belohnung für den Forscher inklusive der Handling Fee der Plattform muss innerhalb von 15 Tagen nach definitiver Bestätigung des Bugs überwiesen werden. Eine Vorauszahlung der jährlich für Belohnungen vorgesehenen Summen ist auch möglich.

    Das von einem Unternehmen gestartete Bug-Bounty-Programm läuft so lange, bis es durch das Unternehmen pausiert oder gestoppt wird. Die Unternehmen verpflichten sich, sofern so im Abonnement geregelt, zur Bezahlung der Belohnungen (Bounties) für die während einem laufenden (d.h. nicht pausierten oder gestoppten) Bug-Bounty-Programm gefundenen Bugs.

    Für gewisse Abonnements zahlen Unternehmen ein fixes monatliches Abo, und Hacky übernimmt dafür die Bezahlung der Belohnungen an die Forscher. Unternehmen müssen die Belohnungen in diesen Fällen nicht separat bezahlen, es sei denn, es ist im gewählten Abo anders geregelt.

    Wenn dem Unternehmen eine Schwachstelle gemeldet wird, ist es verpflichtet, diese innert 10 Tagen zu validieren. Falls es sich um ein Duplikat handelt oder die Schwachstelle nicht valid ist, muss dies innert 10 Tagen über das entsprechende Formular gemeldet werden.

    Wird eine Lücke gefunden, für die das Unternehmen die Belohnung selbst bezahlen muss, so hat das Unternehmen 10 Tage nach übermitteln der Lücke durch Hacky an das Unternehmen Zeit, diese und deren Einstuffung, anzufechten.

  8. Bewertung und Auszahlung von Bounties

    Die von den Forschern gemeldeten Bugs werden, sofern zumutbar und möglich, innerhalb von 10 Tagen im Hinblick auf ihre Neuheit und Nachvollziehbarkeit bewertet. Sofern sie neu und nachvollziehbar sind, werden sie in einer Kategorie und damit in einer Belohnung gemäss der Bounty-Liste des jeweiligen Bug-Bounty-Programms bestätigt. Wenn eine Rückmeldung des Unternehmens und/oder Forschers erforderlich ist, kann die Bearbeitung länger dauern.

    Kategorisierung: Die Einstufung erfolgt nach dem Common Vulnerability Scoring System (CVSS):

    • Tief: 0.1 – 3.9
    • Mittel: 4.0 – 6.9
    • Hoch: 7.0 – 8.9
    • Kritisch: 9.0 – 10

    Bei abweichender Einschätzung des CVS durch Forscher oder Unternehmen gilt alleine die Einschätzung von Hacky.

    Belohnung: Die Belohnung für das Auffinden und Melden eines neuen und nachvollziehbaren Bugs wird innerhalb von 60 Tagen nach definitiver Bestätigung des Bugs auf das bei der Registrierung angegebene Bankkonto des betreffenden Forschers überwiesen. Die Auszahlung erfolgt in CHF (Schweizer Franken) und jegliche, für die Transaktion notwendige, Gebühren werden von dem Forscher selbst getragen und falls nötig direkt der Belohnung abgezogen.

    Mehrere Schwachstellen: Mehrere Schwachstellen, die durch ein zugrunde liegendes Problem verursacht werden, werden als eine Lücke gehandhabt und entsprechend mit einer (1) Prämie belohnt.

    Zurückweisung von Bugs: Die Plattform ist berechtigt, gemeldete Bugs zurückzuweisen, wenn diese nicht neu und/oder nicht nachvollziehbar sind. Damit verfällt jeglicher Anspruch auf eine Vergütung.

    Nicht gesuchte Schwachstellen: Schwachstellen und Dokumentationsformen, die grundsätzlich nicht gesucht und zurückgewiesen werden, umfassen:

    • Best Practices, die nicht zu einer direkt ausnutzbaren Schwachstelle führen (z.B. fehlende Security Headers).
    • Schwachstellen aufgrund von Software-Bibliotheken von Drittanbietern, bei denen die Schwachstellen bereits bekannt sind.
    • Dokumentationen von automatischen Tools ohne zusätzliche Erklärungen.

    Nicht konforme Schwachstellen: Schwachstellen, welche nicht entsprechend den Nutzungsbestimmungen oder dem landesspezifisch anwendbaren Recht gefunden wurden, haben kein Anrecht auf Belohnungen.

    Einspruch: Es kann, durch das Unternehmen oder Forscher, innert 10 Tagen Einspruch gegen die Einstufung erhoben werden.

  9. Geheimhaltung und Datenschutz

    Geheimhaltung: Alle gemeldeten Sicherheitslücken und damit verbundenen Informationen sind vertraulich zu behandeln. Dies gilt für Forscher, Unternehmen und Hacky gleichermassen.

    Datenschutz: Hacky verpflichtet sich, die personenbezogenen Daten der Forscher und Unternehmen gemäss den geltenden Datenschutzbestimmungen zu schützen. Da die Plattform auch von Hackern getestet wird, kann der Datenschutz nicht vollständig gewährleistet werden, aber es wird alles Erforderliche getan, um die Daten zu schützen.

    Datenaufbewahrung: Die Plattform sorgt für eine dem Stand der Technik entsprechende sichere Aufbewahrung der Informationen über gefundene Schwachstellen. Für den Fall, dass Dritte trotz der getroffenen Schutzmassnahmen auf entsprechende Informationen zugreifen können und dadurch ein Schaden entsteht, wird die Haftung der Plattform ausgeschlossen.

  10. Haftung

    Haftungsausschluss: Hacky haftet nicht für Fahrlässigkeit oder grobe Fahrlässigkeit von sich selbst oder seinen Mitarbeitern. Ebenfalls wird keine Haftung für Forscher übernommen, selbst wenn diese von Hacky beauftragt wurden.

    Schäden durch Sicherheitslücken: Hacky übernimmt keine Haftung für Schäden, die durch Sicherheitslücken entstehen, unabhängig davon, ob diese Lücken gemeldet wurden oder nicht. Hacky garantiert nicht, dass alle Sicherheitslücken gefunden werden können. Weder bei Unternehmen, noch bei Hacky selbst.

    Schäden durch erlaubtes Hacking: Für allfällige Schäden, die im Rahmen des vom Scope erlaubten Hackings auftreten, sind allein die Unternehmen verantwortlich. Ein zivil- oder strafrechtliches Vorgehen gegen Forscher oder die Plattform ist in diesem Fall ausgeschlossen. Hält sich ein Forscher nicht an den vorgegebenen Scope und entsteht deshalb ein Schaden, ist allein der Forscher dafür verantwortlich. Beim Nachweis eines begründeten Verdachts auf Überschreitung des Scope durch die Unternehmen sperrt die Plattform den Account des oder der fehlbaren Forscher. Eine darüber hinausgehende Verantwortlichkeit der Plattform ist ausgeschlossen.

    Unterbrechung der Plattform: Die Plattform sorgt für die bestmögliche Erreichbarkeit. Für allfällige Schäden infolge eines Unterbruchs der Plattform wird eine Haftung der Plattform ausgeschlossen.

    Deklaration der Einnahmen: Forscher sind dafür verantwortlich, dass sie ihre Einnahmen (Belohnungen für gefundene Bugs) nach dem für sie anwendbaren Recht korrekt deklarieren. Die Plattform schliesst jegliche Haftung wegen nicht korrekter Deklaration der Einnahmen durch die Forscher aus. Für Forscher mit Wohnsitz in der Schweiz gilt, dass es mangels wirtschaftlicher und arbeitsorganisatorischer Abhängigkeit an einer unselbständigen Erwerbstätigkeit und damit an einer Voraussetzung für die sozialversicherungsrechtliche Beitragspflicht fehlt.

  11. Kündigung und Beendigung

    Kündigungsfristen: Die Nutzung der Plattform kann jederzeit beendet werden. Ein laufendes Abonnement kann jederzeit, mit einer Kündigungsfrist von 30 Tagen, auf Ende der Laufzeit gekündigt werden. Sofern nicht anders vereinbart, verlängert sich das Abonnement, am Ende der Laufzeit, automatisch. Hacky hat keinen Einfluss darauf, ob die Community nach Kündigung weiterhin die Infrastruktur testet.

    Daten und Transaktionen: Bei Kündigung des Benutzerkontos werden die Daten weiterhin gespeichert, es sei denn, es wird anders von den Kunden gefordert oder vereinbart.

  12. Änderungen der AGB

    Änderungsmöglichkeiten: Hacky behält sich das Recht vor, diese AGB jederzeit zu ändern, soweit dies rechtlich zulässig ist.

    Information über Änderungen: Nutzer werden über Änderungen per E-Mail informiert. Die fortgesetzte Nutzung der Plattform nach Inkrafttreten der Änderungen gilt als Zustimmung zu den geänderten Bedingungen.

  13. Gerichtsstand und anwendbares Recht

    Gerichtsstand: Der Gerichtsstand ist Zürich, Schweiz.

    Anwendbares Recht: Es gilt das Schweizer Recht.

  14. Konfliktlösung und Schiedsverfahren

    Konfliktlösung: Bei Konflikten wird zunächst versucht, eine einvernehmliche Lösung zu finden. Ist dies nicht möglich, kann ein Schiedsverfahren gemäss den Regeln der Schweizerischen Handelskammer eingeleitet werden.

    Internationale Nutzer: Es liegt in der Verantwortung der Forscher, sich über die rechtlichen Rahmenbedingungen in ihrem Heimatland, im Land der Kunden sowie im Land, in dem die IT-Infrastruktur steht, zu informieren.

  15. Weitere Bestimmungen

    Widerrufs- und Rücktrittsrecht: Nutzer haben das Recht, ihr Konto und alle damit verbundenen Dienstleistungen jederzeit zu widerrufen oder zu beenden.

    Steuern: Forscher müssen ihre Einkünfte selbständig versteuern, sowohl international als auch in der Schweiz.

    Nutzung durch Minderjährige: Die Nutzung der Plattform ist nur Personen ab 18 Jahren erlaubt.

    Schlussbestimmungen: Sollte eine Bestimmung dieser AGB unwirksam sein oder werden, bleibt die Wirksamkeit der übrigen Bestimmungen unberührt. Unwirksame Bestimmungen sind durch solche zu ersetzen, die dem wirtschaftlichen Zweck der unwirksamen Bestimmung am nächsten kommen.

Linkedin Envelope

Hacky bietet ein sorgloses Bug Bounty Erlebnis für KMUs. Wir glauben daran, dass du mit Hackern und nicht gegen sie arbeiten solltest.

Du hast einen Bug gefunden?

Wenn du einen Bug gefunden hast, kannst du ihn hier melden und eine Belohnung dafür erhalten.

Bug melden
© 2025 Hacky