Wat is Responsible Disclosure?
Bij SafeMKB nemen we beveiliging serieus. Als cybersecurity bedrijf begrijpen we het belang van transparantie en samenwerking met de security community.
Responsible Disclosure is een proces waarbij beveiligingsonderzoekers gevonden kwetsbaarheden op een verantwoorde manier melden, zodat we deze kunnen verhelpen voordat ze misbruikt worden.
Scope
Deze responsible disclosure policy is van toepassing op:
- Alle subdomeinen van safemkb.eu
- Onze webapplicaties en API's
- Door SafeMKB beheerde infrastructuur
- Door SafeMKB ontwikkelde software
Richtlijnen voor Onderzoekers
Doe wel
- Meld kwetsbaarheden zo snel mogelijk
- Geef ons redelijke tijd om te reageren (minimaal 90 dagen)
- Gebruik alleen testaccounts of je eigen data
- Bewaar gevonden kwetsbaarheden vertrouwelijk
- Volg onze disclosure timeline
- Geef gedetailleerde en reproduceerbare stappen
Doe niet
- Toegang krijgen tot data van anderen
- DDoS of resource-uitputtingsaanvallen uitvoeren
- Social engineering op medewerkers
- Fysieke toegang tot systemen proberen
- Kwetsbaarheden openbaar maken voordat ze verholpen zijn
- Data wijzigen, verwijderen of exfiltreren
Hoe meld je een kwetsbaarheid?
Stuur je melding naar ons via:
Wat moet je melding bevatten?
- Type kwetsbaarheid (bijv. XSS, SQL injection, CSRF)
- URL of endpoint waar het probleem zich voordoet
- Gedetailleerde stappen om het probleem te reproduceren
- Proof of Concept (PoC) indien mogelijk
- Impact assessment - wat is de potentiële schade?
- Je contactgegevens zodat we kunnen reageren
- CVE-nummer indien al toegewezen
Wat gebeurt er na je melding?
Bevestiging binnen 48 uur
We bevestigen de ontvangst van je melding en geven een uniek ticket nummer.
Eerste beoordeling binnen 5 werkdagen
We beoordelen de ernst en validiteit van de kwetsbaarheid en informeren je over onze bevindingen.
Fix planning en communicatie
We informeren je over de geplande tijdlijn voor het verhelpen van het probleem.
Implementatie en verificatie
We implementeren een fix en vragen je eventueel om te verifiëren dat het probleem is opgelost.
Publicatie (na 90 dagen)
Na minimaal 90 dagen, of zodra de fix is uitgerold, mogen details worden gepubliceerd in overleg met SafeMKB.
Hall of Fame
We waarderen de bijdragen van beveiligingsonderzoekers die ons helpen veiliger te worden. Met je toestemming vermelden we je naam (of handle) op deze pagina.
Deze sectie wordt bijgewerkt zodra we onze eerste responsible disclosure melding hebben ontvangen en verwerkt.
Buiten Scope
De volgende bevindingen vallen niet onder deze policy en worden niet als kwetsbaarheid beschouwd:
- Uitgaande links naar externe websites
- Self-XSS (bijvoorbeeld via developer console)
- Clickjacking op pagina's zonder gevoelige acties
- Open redirects zonder security impact
- Software versie disclosure zonder exploit
- Denial of Service aanvallen
- Social engineering aanvallen
- Fysieke aanvallen op onze infrastructuur
- SPF/DMARC/DKIM configuratie zonder bewijs van misbruik
Legal Safe Harbor
SafeMKB verbindt zich ertoe geen juridische stappen te ondernemen tegen onderzoekers die zich houden aan deze responsible disclosure policy, ook al zou hun onderzoek technisch gezien in strijd kunnen zijn met Nederlandse wet- en regelgeving.
We zullen:
- Je activiteiten als toegestaan security onderzoek beschouwen
- Geen juridische actie ondernemen tegen je
- Niet doorgeven aan wetshandhavers (tenzij wettelijk verplicht)
- Samenwerken aan een veilige en verantwoorde oplossing
Vragen?
Heb je vragen over deze policy of ben je niet zeker of iets binnen de scope valt? Neem gerust contact met ons op voordat je begint met testen.
We staan open voor feedback over deze policy en passen deze indien nodig aan om beter samen te werken met de security community.
RFC 9116 security.txt op onze website voor geautomatiseerde tools en aanvullende contactinformatie.