Responsible Disclosure

Verantwoord beleid inzake bekendmaking (Responsible Disclosure)

Indien u een zwakke plek op de site of het product ontdekt, wordt u verzocht dit aan ons te melden aan de hand van de onderstaande richtlijnen. Als u ons een redelijke termijn geeft om te reageren op uw melding alvorens informatie bekend te maken en als u de nodige inspanningen verricht om schendingen van privacy, vernietiging van data en onderbreking of verslechtering van onze dienst tijdens uw onderzoek te voorkomen, zullen wij geen rechtszaak tegen u beginnen of justitie verzoeken onderzoek naar u te doen, tenzij wij gronden hebben om te geloven dat uw handelen niet te goeder trouw is. Verder gelden de onderstaande richtlijnen.

Richtlijnen voor verantwoorde bekendmaking

Deel het beveiligingsprobleem met ons zonder dit op message boards, mailing lists en andere fora openbaar te maken.

Gun ons tenminste 60 dagen vanaf het moment waarop wij uw melding in deze procedure ontvangen om te reageren op het probleem alvorens het aan anderen bekend te maken.

Verstrek de volledige gegevens van het beveiligingsprobleem, inclusief Proof-of-Concept URL, de details van het systeem waar de tests zijn uitgevoerd en gedetailleerde weergave van de stappen die u heeft genomen.

Verricht geen beveiligingsonderzoek:

  • door gebruik te maken van social engineering om zich op die wijze toegang te verschaffen tot het systeem.
  • door een eigen backdoor in een informatiesysteem plaatsen om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
  • door een kwetsbaarheid verder uit te nutten dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • door gegevens van het systeem te kopiëren, te wijzigen of te verwijderen. Een alternatief hiervoor is het maken van een directory listing van een systeem.
  • door veranderingen in het systeem aan te brengen.
  • door herhaaldelijk toegang tot het systeem te verkrijgen of de toegang te delen met anderen.
  • door gebruik te maken van het zogeheten "bruteforcen" van toegang tot systemen, daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.

Hoe melden?

Wij verzoeken u een mogelijke kwetsbaarheid, datalek, spam of ander misbruik zo snel als mogelijk te melden bij onze directie via de gegevens op deze contactpagina. 

Wat wij beloven:

  • Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker.