Verantwoord melden van kwetsbaarheden
Bij Savvy.codes staat de beveiliging van onze systemen voorop. Ondanks onze inspanningen om systemen veilig te houden, kunnen er toch kwetsbaarheden bestaan.
Heb je een kwetsbaarheid ontdekt? Dan horen wij dit graag zodat we de nodige maatregelen kunnen treffen. Door ons hierover te informeren, help je ons om onze klanten en systemen beter te beschermen.
Volg hierbij de volgende richtlijnen:
- Stuur je bevindingen naar security@savvy.codes.
- Maak geen misbruik van de gevonden kwetsbaarheid. Dit betekent bijvoorbeeld: download niet meer gegevens dan nodig is om de kwetsbaarheid aan te tonen, en wijzig of verwijder geen gegevens van anderen.
- Deel het probleem niet met anderen totdat het is opgelost.
- Gebruik geen aanvallen gericht op fysieke beveiliging, social engineering, DDoS, spam, geautomatiseerde scans, of tools van derden.
- Zorg voor voldoende informatie om het probleem te kunnen reproduceren. Vaak zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid al voldoende, maar complexe kwetsbaarheden kunnen meer uitleg vereisen.
Wat wij beloven
- Binnen 3 werkdagen krijg je een eerste reactie met onze beoordeling van het rapport en een verwachte oplostermijn.
- Als je de bovenstaande instructies hebt gevolgd, zullen we geen juridische stappen ondernemen in verband met de melding.
- We behandelen je melding strikt vertrouwelijk en delen je persoonlijke gegevens niet zonder jouw toestemming.
- We houden je op de hoogte van de voortgang bij het oplossen van het probleem.
- In de publieke informatie over het gemelde probleem vermelden we jouw naam als ontdekker van het probleem (tenzij je aangeeft dat je dit niet wilt).
- Als blijk van waardering bieden we een beloning voor meldingen van beveiligingsproblemen die nog niet bij ons bekend waren. De hoogte van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van het rapport.
Wij zetten ons in om gemelde problemen snel op te lossen en zijn graag actief betrokken bij de uiteindelijke publicatie van het probleem, zodra het is verholpen.