Responsible disclosure

Laat het ons weten! Wij hechten veel waarde aan de veiligheid van onze klantgegevens en ons xCore-platform. Daarom werken wij doorlopend aan het veilig houden van onze diensten. Ondanks alle voorzorgsmaatregelen kan het voorkomen dat er toch een kwetsbaarheid aanwezig is.

Heb je een beveiligingsprobleem ontdekt? Het is fijn als je dit met ons deelt, zodat wij actie kunnen ondernemen. Zo werken we samen aan het verbeteren van de veiligheid van onze klantgegevens en ons xCore-platform. Op deze pagina wordt onze responsible disclosure-procedure omschreven en leggen we uit hoe je een melding kan maken van een beveiligingsprobleem.

We leggen je graag uit waar je wel en geen beveiligingsmelding van kan maken binnen onze responsible disclosure-procedure.

De belangrijkste informatie wordt ook gestructureerd genoemd in onze security.txt.

Onze responsible disclosure-procedure is uitsluitend bedoeld voor het melden van beveiligingskwetsbaarheden die een risico vormen voor de vertrouwelijkheid, integriteit of beschikbaarheid van onze systemen en gegevens. Denk bijvoorbeeld aan:

• Ongeoorloofde toegang tot gegevens/functionaliteit buiten de gebruikerscontext
• Mogelijkheid tot invoer van (javascript) code in invoervelden

Onze responsible disclosure-procedure is niet bedoeld voor operationele meldingen zoals:

• Klachten
• Websites of diensten die niet beschikbaar zijn
• Niet of incorrect werkende functies van websites of diensten
• Fraudemeldingen
• Het melden van nep (phishing) e-mails
• Ontbreken van Security Headers
• Validatie van DNS records zoals SPF/DKIM

Wil je een ontdekte kwetsbaarheid in onze diensten melden, dan kan dit door te mailen naar het emailadres in onze security.txt.

Om een goede beveiligingsmelding te kunnen maken, hebben we een aantal regels en richtlijnen opgesteld. Daarmee is het belangrijk om rekening te houden met:

• Voer geen aanvallen uit die schade kunnen veroorzaken of de beschikbaarheid van systemen aantasten (bijv. DDoS)
• Maak geen misbruik van de kwetsbaarheid en deel de informatie niet publiekelijk totdat deze is verholpen

Wil je een beveiligingsmelding maken? Dan ontvangen we van jou graag de volgende informatie:

• Omschrijving van het probleem
• Stappenplan waarmee we de gevonden kwetsbaarheid kunnen reproduceren, het liefst met ondersteunende screenshots
• Specificatie of verwijzing naar wat of waarom het een beveiligingskwetsbaarheid betreft
• Indien mogelijk: suggesties en/of aanbevelingen om het beveiligingsissue op te lossen

Nadat we je melding hebben ontvangen, krijg je van ons een bevestigingsmail. Hierna beoordelen wij je melding om te controleren of deze voldoet aan de eisen, en of de inhoudelijke informatie is verstrekt zoals in deze procedure staat beschreven. Is dit het geval? Dan lossen wij de problemen zo snel mogelijk op. Zodra dit is gedaan, nemen we contact met je op.

Belangrijk: we gebruiken je contactgegevens alleen om met je over de melding te communiceren. Wij delen je gegevens niet met anderen, behalve als wij dit wettelijk verplicht zijn of als wij vermoeden dat je je schuldig maakt aan een strafbaar feit. In dat geval doen wij aangifte bij de politie.

Bedankt dat je ons helpt om onze systemen en gegevens veiliger te maken en te houden!