Für Beschaffung gebaut vom ersten Tag an.
ZeroMan.ai arbeitet nach Least-Privilege mit auditierbaren Entscheidungen, gesteuerten Agenten und einem veröffentlichten Responsible-Disclosure-Pfad. Diese Seite ist die laufende Quelle der Wahrheit für Design-Partner und Enterprise-Käufer.
Eine bewusst schmale öffentliche Angriffsfläche.
Die ZeroMan.ai Public Site ist eine Marketing-, Research-, Ressourcen- und Kontaktoberfläche. Sie hostet keine Kunden-Production-Tenants, keine Kundendaten aus Supply Chains und keine gemessenen Deployment-Ergebnisclaims.
Öffentliche Seiten sind anonym. Kontaktanfragen erfassen nur die im Formular sichtbaren Felder, erhalten Routing-Kontext und bleiben von öffentlichen Inhalten getrennt. Admin-Workflows sind von der Public Site getrennt und durch rollenbezogene Kontrollen im unterstützenden CMS-Schema abgesichert.
Die Site veröffentlicht Sitemap, Changelog, Statusseite, Link-Audit-Abdeckung und Responsible-Disclosure-Pfad, damit öffentliche Änderungen und Trust-Signale eine Spur hinterlassen.
Governance gehört in die Entscheidungsschleife.
Das Produktdesign konzentriert sich auf governierte Entscheidungsschleifen: Sense, Decide, Optimize, Govern, Execute und Learn. Jede Schleife soll Intent, Kontext, Berechtigungen, Modellinputs, mögliche Aktionen, Freigabegrenzen und einen dauerhaften Audit Trail tragen.
Kundenidentifizierende Daten sind darauf ausgelegt, tenant-scoped zu bleiben. ZeroMan.ai behauptet keine Erlaubnis, gemeinsame Foundation Models mit kundenidentifizierenden Daten zu trainieren; tenant-spezifisches Lernen oder Fine-Tuning erfordert ausdrückliche Vereinbarung und dokumentierte Datengrenzen.
Autonomie wird pro Entscheidungsschleife entworfen, nicht global. Human Review, Policy-Schwellen und Rollback-Pfade sind zentrale Produktprimitive.
Roadmap-Punkte werden als Roadmap-Punkte benannt.
Für Design-Partner umfasst die Production-Readiness-Roadmap SSO/OIDC, formale Incident Response, regionale Data-Residency-Optionen, Tenant-Boundary-Evidence und einen SOC-2-Readiness-Pfad.
ZeroMan.ai beansprucht heute keinen abgeschlossenen SOC-2-Bericht, keine ISO-Zertifizierung, kein Kunden-Production-Deployment und keine gemessenen Production-Ergebnisse. Diese Artefakte werden erst veröffentlicht, wenn sie existieren und für öffentliche Nutzung freigegeben sind.
Design-Partner können die aktuelle Control Narrative, das Data-Scope-Modell und Roadmap-Artefakte über den passenden Vertraulichkeitspfad anfragen.
Vermutete Schwachstellen direkt melden.
Security-Researcher, Käufer und Design-Partner können vermutete Schwachstellen per E-Mail oder über die Security-Kontaktroute melden. Bitte nennen Sie betroffene URL oder Asset, Reproduktionsschritte, erwartete Auswirkung und eine sichere Kontaktmethode.
Wir zielen darauf ab, gutgläubige Reports innerhalb von zwei Arbeitstagen zu bestätigen, sie während der Untersuchung vertraulich zu behandeln und Remediation vor öffentlicher Disclosure zu koordinieren, wenn ein reales Problem bestätigt wird.
Bitte greifen Sie nicht auf Daten zu, die Ihnen nicht gehören, und ändern, löschen oder exfiltrieren Sie diese nicht. Tests dürfen keine Denial-of-Service-Aktionen, Social Engineering, Spam, destruktive Handlungen oder Versuche zum Umgehen von Drittanbieterbedingungen enthalten.
Was aktuell, zugesagt oder noch Roadmap ist.
Diese Matrix trennt heutige Public-Site-Kontrollen von Produkt-Design-Zusagen und Production-Roadmap-Punkten für Design-Partner.
| Kontrolle | Status | Beschreibung | Nachweis |
|---|---|---|---|
| Datenisolation | Design-Zusage | Die Public Site hostet keine Kunden-Tenant-Workloads. Produkt-Datengrenzen werden um tenant-scoped Daten, loop-scoped Kontext und ausdrückliche Data-Sharing-Vereinbarungen entworfen. | Platform Brief |
| Verschlüsselung bei Übertragung | Aktuell | Die Public Site und Download-Assets werden in Production für HTTPS/TLS-Bereitstellung betrieben. Lokale Entwicklung nutzt localhost zur Verifikation. | Public Status |
| Verschlüsselung im Ruhezustand | Aktuell | Aktuelle Public-Site-Datenspeicher stützen sich auf Managed-Provider-Storage-Kontrollen. Production-Customer-Encryption-Evidence wird vor Production-Nutzung in Partnerartefakten dokumentiert. | Security-Follow-up |
| Zugriffskontrolle | Aktuell | Öffentliche Seiten sind anonym. Admin- und Content-Workflows sind von der öffentlichen Oberfläche getrennt und rollenbezogenen Zugriffsmustern zugeordnet. | Aktuelle Kontrollen |
| Audit Logging | Design-Zusage | Die Public Site modelliert Traceability über Status, Build Log, Changelog und Link-Audit-Reports. Produkt-Entscheidungsschleifen sind darauf ausgelegt, Input-, Options-, Freigabe- und Aktionsspuren zu erhalten. | Changelog |
| Modell-/Datennutzung | Design-Zusage | ZeroMan.ai behauptet keine Erlaubnis, gemeinsame Foundation Models mit kundenidentifizierenden Daten zu trainieren. Tenant-spezifisches Lernen erfordert ausdrückliche Vereinbarung und dokumentierte Grenze. | Governance-Modell |
| Regionales Hosting/Data Residency | Roadmap | Regionale Tenancy- und Data-Residency-Optionen sind Teil der Design-Partner-Production-Roadmap. Die Public Site ist kein Nachweis einer Production-Customer-Residency-Zusage. | Production-Roadmap |
| SSO/OIDC | Roadmap | OIDC-basiertes SSO für Enterprise-Identity-Provider ist für Design-Partner-Production-Readiness geplant. Es wird heute nicht als Live-Customer-SSO dargestellt. | Security-Follow-up |
| RLS/Tenant-Grenzen | Design-Zusage | Das unterstützende CMS-Schema nutzt Row-Level-Security-Muster. Produkt-Tenant-Grenzen werden vor Production-Customer-Nutzung separat dokumentiert. | Aktuelle Kontrollen |
| Incident Response | Roadmap | Der öffentliche Reporting-Pfad ist aktuell. Ein formales Production-Incident-Response-Playbook, Severity-Modell und Customer-Notification-Workflow bleiben Roadmap-Artefakte. | Responsible Disclosure |
| Vulnerability Disclosure | Aktuell | Eine menschenlesbare Disclosure-Sektion und maschinenlesbare security.txt sind mit direkter Security-E-Mail veröffentlicht. | security.txt |
| SOC 2 Roadmap | Roadmap | SOC 2 Readiness ist ein Roadmap-Punkt. ZeroMan.ai beansprucht heute keinen abgeschlossenen SOC-2-Bericht, Audit, Attestation oder Zertifizierung. | Production-Roadmap |