Responsible disclosure

Bij Privacy Company beschouwen we de veiligheid van onze systemen als een topprioriteit. Maar hoeveel moeite we ook steken in de beveiliging van onze systemen, er kunnen altijd nog kwetsbaarheden aanwezig zijn.

Als je een kwetsbaarheid ontdekt willen we dat graag weten, zodat we zo snel mogelijk maatregelen kunnen nemen om die kwetsbaarheid aan te pakken. Help ons bij het beschermen van onze klanten en systemen!

Doe het volgende

  • E-mail je bevindingen naar security@privacynexus.io,
  • Maak geen gebruik van de kwetsbaarheid of het probleem dat je hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door de gegevens van anderen te verwijderen of te wijzigen,
  • Geef het probleem niet aan anderen door totdat het is opgelost,
  • Gebruik geen aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of toepassingen van derden, en
  • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal zal het IP-adres of de URL van het betreffende systeem en een beschrijving van de kwetsbaarheid voldoende zijn, maar complexe kwetsbaarheden kunnen nadere uitleg nodig hebben.

Wat wij beloven

  • Wij zullen binnen 3 werkdagen reageren op je rapport, met een evaluatie van het rapport en een verwachte oplossingsdatum,
  • Als je bovenstaande instructies hebt opgevolgd, zullen wij geen juridische stappen tegen je ondernemen met betrekking tot het rapport,
  • Wij zullen je melding strikt vertrouwelijk behandelen en je persoonlijke gegevens niet zonder toestemming aan derden verstrekken,
  • Wij houden je op de hoogte van de vorderingen bij het oplossen van het probleem,
  • In de openbare informatie over het gemelde probleem zullen wij je naam als ontdekker van het probleem vermelden (tenzij je dit anders wil), en
  • Als blijk van onze dankbaarheid voor je hulp bieden wij een beloning aan voor elke melding van een kwetsbaarheid die ons nog niet bekend was. De hoogte van de beloning wordt bepaald op basis van de ernst van het probleem en de kwaliteit van het rapport. Indien je dat wil zullen wij je naam toevoegen aan onze Hall of Fame.

We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.

Buiten scope

Overweeg of het domein en de kwestie waarover je verslag uitbrengt, binnen de scope van dit beleid valt:

Domeinen die niet binnen de scope vallen:

De volgende domeinen vallen buiten de reikwijdte van dit beleid.

  • www.privacynexus.io - De website wordt gehost op het Webflow-platform, los van de Privacy Nexus-applicatie. Kwetsbaarheden in hun platform moeten aan hen worden gemeld.
Problemen die niet binnen de scope vallen:

We belonen geen triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden. De volgende items zijn voorbeelden van zaken die buiten de reikwijdte van dit beleid vallen:

  • Alles wat te maken heeft met HTTP-beveiligingsheaders (bijv. X-Frame-Options, Content-Security-Policy, etc.),
  • SPF, DKIM en DMARC kwesties,
  • Clickjacking-gerelateerde problemen,
  • SSL-configuratieproblemen (bv.ondersteuning voor versleutelingssuite en TLS-versie-ondersteuning)

Hall of Fame

We willen de volgende melders bedanken voor hun medewerking: