sterkte-wensen

Meld je nu aan voor Sterkte Plus en krijg een GRATIS kaart en postzegel ▸

Verantwoordelijke Openbaarmaking

Responsible Disclosure Policy

Help ons onze systemen veilig te houden door beveiligingslekken verantwoordelijk te melden

Samen voor veiligheid

Bij Sterkte-Wensen nemen we de beveiliging van onze systemen en de privacy van onze klanten zeer serieus. We waarderen de bijdrage van security researchers en ethische hackers die ons helpen onze systemen veiliger te maken.

Deze Responsible Disclosure Policy beschrijft hoe je veilig en ethisch beveiligingslekken kunt melden, en hoe wij daarop reageren.

Beveiligingslek gevonden?

Meld het direct via:

security@sterkte-wensen.nl

Scope van het programma

In scope

www.sterkte-wensen.nlIn scope

Hoofdwebsite en webshop

app.sterkte-wensen.nlIn scope

Mobiele app en API endpoints

admin.sterkte-wensen.nlIn scope

Administratie systemen

*.sterkte-wensen.nlIn scope

Alle subdomeinen van Sterkte-Wensen

Niet toegestaan

  • Social engineering attacks op medewerkers
  • Fysieke aanvallen op onze kantoren
  • Denial of Service (DoS/DDoS) attacks
  • Spam of phishing attacks
  • Attacks die de beschikbaarheid van onze diensten verstoren
  • Testing van derde partij systemen die wij gebruiken
  • Systemen van onze partners en leveranciers

Richtlijnen voor ethisch onderzoek

Onderzoek ethisch

Voer alleen tests uit die nodig zijn om het beveiligingslek aan te tonen

  • Gebruik alleen publiek beschikbare informatie
  • Minimaliseer de impact van je testing
  • Test niet met echte klantgegevens
  • Stop zodra je het lek hebt aangetoond

Bescherm data

Behandel alle gevonden informatie vertrouwelijk

  • Download geen persoonlijke gegevens
  • Maak geen kopieën van gevoelige data
  • Deel geen informatie met derden
  • Verwijder toegang na het onderzoek

Rapporteer verantwoordelijk

Meld beveiligingslekken direct en vertrouwelijk

  • Gebruik alleen ons officiële kanaal
  • Geef ons tijd om het probleem op te lossen
  • Publiceer niets zonder onze toestemming
  • Werk samen aan een oplossing

Krijg erkenning

We waarderen je bijdrage aan onze beveiliging

  • Hall of Fame voor ethische hackers
  • Officiële dankbetuiging (indien gewenst)
  • Feedback over gevonden issues
  • Mogelijke beloning voor kritieke bevindingen

Ons proces

1

Ontdekking

Je ontdekt een mogelijk beveiligingslek in onze systemen

Direct
2

Rapportage

Je meldt het lek via security@sterkte-wensen.nl

Binnen 24 uur
3

Bevestiging

Wij bevestigen ontvangst en starten onderzoek

2 werkdagen
4

Analyse

We analyseren het lek en bepalen de impact

5-10 werkdagen
5

Oplossing

We implementeren een fix voor het beveiligingslek

Afhankelijk van impact
6

Feedback

We informeren je over de status en oplossing

Na implementatie

Ernst classificatie

Kritiek

Response tijd: 24 uur

Directe toegang tot klantgegevens of systemen

Voorbeelden:

  • SQL injection met data toegang
  • Remote code execution
  • Complete authentication bypass

Hoog

Response tijd: 72 uur

Significante impact op beveiliging of privacy

Voorbeelden:

  • XSS op gevoelige paginas
  • Privilege escalation
  • Data leakage

Gemiddeld

Response tijd: 1 week

Beperkte impact, vereist actie

Voorbeelden:

  • Information disclosure
  • CSRF op niet-kritieke functies
  • Weak encryption

Laag

Response tijd: 2 weken

Minimale impact, best practice verbetering

Voorbeelden:

  • Security headers ontbreken
  • Informatie in HTML comments
  • Verbose error messages

Rapportage template

Gebruik deze template voor je melding:


Onderwerp: [RESPONSIBLE DISCLOSURE] - [Korte beschrijving]

1. Samenvatting van het beveiligingslek:
   - Type beveiligingslek (bijv. XSS, SQL injection, etc.)
   - Getroffen systeem/URL
   - Potentiële impact

2. Stappen om het lek te reproduceren:
   - Stap 1: ...
   - Stap 2: ...
   - Stap 3: ...

3. Proof of Concept:
   - Screenshots (indien van toepassing)
   - Code snippets (indien van toepassing)
   - Logs of andere bewijsmateriaal

4. Suggesties voor oplossing (optioneel):
   - Mogelijke fixes
   - Best practices

5. Contact informatie:
   - Naam (optioneel)
   - E-mailadres voor terugkoppeling
   - Voorkeur voor anonimiteit (ja/nee)
Open in e-mail

Juridische bescherming

Onze toezegging

Als je je houdt aan deze Responsible Disclosure Policy, zullen wij:

  • Geen juridische stappen ondernemen tegen je
  • Je identiteit vertrouwelijk behandelen (indien gewenst)
  • Samenwerken aan een oplossing
  • Je bijdrage erkennen (indien gewenst)

Belangrijke voorwaarden

  • • Deze bescherming geldt alleen bij naleving van onze richtlijnen
  • • Activiteiten buiten de scope kunnen juridische gevolgen hebben
  • • We behouden ons het recht voor om contact op te nemen met autoriteiten bij kwaadwillende activiteiten
  • • Deze policy geeft geen toestemming voor toegang tot systemen van derden

Bedankt voor je hulp!

Door samen te werken maken we het internet veiliger voor iedereen. Heb je een beveiligingslek gevonden? Meld het dan verantwoordelijk.

Meld beveiligingslekAlgemene vragen