Responsible disclosure policy

Wij beschouwen de beveiliging van onze systemen als een topprioriteit. Maar ongeacht hoeveel moeite we steken in systeembeveiliging, kunnen er nog steeds kwetsbaarheden aanwezig zijn.

Als jij een kwetsbaarheid ontdekt, horen wij dit graag, zodat we stappen kunnen ondernemen om deze zo snel mogelijk op te lossen. We willen je vragen om ons te helpen onze klanten en onze systemen beter te beschermen.

Graag het volgende doen:

  • E-mail je bevindingen naar [email protected];
  • Maak geen misbruik van de ontdekte kwetsbaarheid of het probleem, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen, of door gegevens van anderen te verwijderen of te wijzigen;
  • Maak het probleem niet bekend aan anderen totdat het is opgelost;
  • Gebruik geen aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden; en
  • Geef voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal volstaat het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar complexe kwetsbaarheden kunnen verdere uitleg vereisen.

Wat wij beloven:

  • Wij zullen binnen 3 werkdagen reageren op je melding met onze evaluatie van het rapport en een verwachte oplosdatum;
  • Als jij de bovenstaande instructies hebt gevolgd, zullen wij geen juridische stappen tegen je ondernemen met betrekking tot de melding;
  • Wij zullen je melding strikt vertrouwelijk behandelen en je persoonlijke gegevens niet aan derden doorgeven zonder jouw toestemming;
  • Wij zullen je op de hoogte houden van de voortgang bij het oplossen van het probleem;
  • In de openbare informatie over het gemelde probleem zullen wij jouw naam vermelden als ontdekker van het probleem (tenzij je anders wenst); en
  • Als blijk van onze dank voor je hulp bieden wij een beloning voor elke melding van een beveiligingsprobleem dat nog niet bij ons bekend was. De hoogte van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van het rapport. De minimale beloning is een cadeaubon ter waarde van €50.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en spelen graag een actieve rol in de uiteindelijke publicatie over het probleem nadat het is opgelost.