Beleid voor verantwoorde openbaarmaking

Wij nemen beveiliging serieus en waarderen de hulp van de community bij het verbeteren van de bescherming van onze systemen.

Onze inzet

De beveiliging van onze systemen en de bescherming van de gegevens van onze klanten hebben de hoogste prioriteit. We moedigen beveiligingsonderzoekers aan om eventuele kwetsbaarheden die zij ontdekken op verantwoorde wijze aan ons te melden.

Reikwijdte

Dit beleid is van toepassing op onze website, onze applicaties, online diensten en publiek toegankelijke API’s.

Wat wij van u vragen

Als u een kwetsbaarheid ontdekt, vragen wij u om:

• Onmiddellijk contact met ons op te nemen via de contactgegevens in ons security.txt-bestand
• De kwetsbaarheid niet openbaar te maken voordat wij de kans hebben gehad deze te verhelpen
• De kwetsbaarheid niet te misbruiken verder dan nodig is om deze aan te tonen
• Geen toegang te verkrijgen tot, geen wijzigingen aan te brengen in of gegevens van andere gebruikers te verwijderen
• Onze diensten of infrastructuur niet te verstoren

Onze inzet naar u toe

• Wij bevestigen de ontvangst van uw melding binnen 3 werkdagen
• Wij houden u op de hoogte van de voortgang van de oplossing
• Wij ondernemen geen juridische stappen tegen onderzoekers die te goeder trouw handelen en dit beleid respecteren
• Wij vermelden u (indien gewenst) bij de communicatie over de oplossing

Kwetsbaarheden buiten de reikwijdte

De volgende zaken vallen niet onder dit beleid:

• Denial-of-service-aanvallen (DoS/DDoS)
• Social engineering of phishing gericht op onze medewerkers
• Fysieke aanvallen op onze locaties of apparatuur
• Kwetsbaarheden in externe diensten die wij gebruiken

Contact

De contactgegevens om een kwetsbaarheid te melden zijn beschikbaar in ons security.txt-bestand.

Gelieve zoveel mogelijk details te verstrekken: beschrijving van de kwetsbaarheid, stappen om deze te reproduceren, mogelijke impact en suggesties voor een oplossing.