Responsible disclosure

Uitgangspunten

Wij beschouwen de veiligheid van onze systemen als een topprioriteit, maar hoeveel moeite we ook steken in systeembeveiliging, er kunnen nog steeds kwetsbaarheden aanwezig zijn.

Als je een kwetsbaarheid ontdekt, willen we dat graag weten, zodat we maatregelen kunnen nemen om deze zo snel mogelijk te verhelpen. We willen je vragen om ons te helpen onze klanten en onze systemen beter te beschermen.

Hoe je kunt melden

• Mail je bevindingen naar cert@ncubed.nl.
• Heb je gevoelige info? Versleutel je mail met een PGP-sleutel.
• Test gerust, maar maak geen misbruik: download niet meer dan nodig is en verander of verwijder geen gegevens.
• Deel je ontdekking nog niet met anderen totdat wij het hebben opgelost.
• Gebruik geen zware aanvallen zoals (D)DoS, spam of social engineering.
• Geef genoeg info zodat we het probleem kunnen reproduceren (bijv. een URL, IP-adres en korte uitleg).

Wat je van ons mag verwachten

• Binnen 3 werkdagen krijg je een reactie.
• We behandelen je melding vertrouwelijk en delen je naam alleen met je toestemming.
• Houd je je aan de spelregels? Dan hoef je niet bang te zijn voor juridische stappen.
• We houden je op de hoogte van de voortgang.
• Wil je credits? Dan zetten we je naam als ontdekker bij de melding (tenzij je liever anoniem blijft).
• Voor nieuwe en waardevolle meldingen hebben we een kleine beloning als dank (minimaal een cadeaubon van €50).

We doen ons best om meldingen zo snel mogelijk op te lossen. Zodra het probleem is verholpen, stemmen we met je af of en hoe we het naar buiten brengen.