Responsible Disclosure Beleid

Bij Signicat vinden wij de veiligheid van onze systemen, ons netwerk en onze producten erg belangrijk. Ondanks dat wij heel veel zorg besteden aan security, kan het voorkomen dat een zwakke plek wordt ontdekt. Indien dat het geval is, dan horen wij dit graag zo snel mogelijk, zodat we snel maatregelen kunnen treffen.

Wij vragen u:

  • Uw bevindingen zo snel mogelijk te mailen naar cert@signicat.com, o.v.v.:
    • De urgentie van de kwetsbaarheid
    • Korte omschrijving
    • Screenshots of andere details die het probleem verder verduidelijken
    • Benodigde stappen om de kwetsbaarheid te reproduceren
    • Je contactgegevens (naam en emailadres of telefoonnummer, het gebruik van een pseudoniem is toegestaan)
    • Of je op de hoogte wilt blijven van onze voortgang in het oplossen van het probleem
  • Misbruik de zwakheid niet door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen uw melding altijd serieus en zullen vermoedens van een kwetsbaarheid uitzoeken.
  • Deel het probleem niet met anderen totdat het is opgelost.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools, zoals vulnerability scanners.
  • Geef ons voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen.

Wij reageren binnen 3 dagen op uw melding. Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. We achten ons zelf moreel verplicht om aangifte te doen op moment dat we het vermoeden hebben dat de zwakheid of gegevens misbruikt worden, of dat u kennis over de zwakheid met anderen heeft gedeeld.

Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding.

Alle diensten op het signicat.pro domein kunnen getest worden. Overige diensten vallen, wegens beheer door andere juridische entiteit, buiten het bereik van deze overeenkomst.

Wat wij niet meenemen:
  •     Theoretical issues without applicable use case
  •     Issues with services not owned or operated by us
  •     CSRF on forms that are available to anonymous users (e.g. Contact Forms)
  •     Self-XSS or XSS bugs requiring an unlikely amount of user interaction
  •     Vulnerabilities affecting users of outdated or unsupported browsers or platforms
  •     Reports of spam, phishing or security best practices
  •     Tabnabbing
  •     Email configuration issues (SPF, DKIM, DMARC)
  •     Forced Login / Logout CSRF

 

Als dank voor uw hulp bieden wij een beloning voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.