Beleid inzake verantwoorde openbaarmaking
INTRODUCTIE
Soluz.io beschouwt de beveiliging van onze systemen als een topprioriteit. Maar hoe veel moeite we ook steken in de beveiliging van onze systemen, er kunnen altijd kwetsbaarheden aanwezig zijn.
Dit beleid is bedoeld om beveiligingsonderzoekers die niet in opdracht van Soluz.io werken, duidelijke richtlijnen te geven voor het uitvoeren van activiteiten om kwetsbaarheden op te sporen en om onze voorkeuren kenbaar te maken met betrekking tot de manier waarop ontdekte kwetsbaarheden aan ons moeten worden gemeld.
In dit beleid wordt beschreven welke systemen en soorten onderzoek onder dit beleid vallen, hoe u ons kwetsbaarheidsrapporten kunt sturen en hoe lang we beveiligingsonderzoekers vragen te wachten voordat ze kwetsbaarheden openbaar maken.
We raden u aan contact met ons op te nemen om mogelijke kwetsbaarheden in onze systemen te melden.
TOEPASSINGSGEBIED
Dit beleid is van toepassing op de volgende systemen en diensten:
*.soluz.io
Alle diensten die hierboven niet uitdrukkelijk worden vermeld, zoals alle verbonden diensten, vallen buiten het toepassingsgebied en mogen niet worden getest. Bovendien vallen kwetsbaarheden die worden aangetroffen in systemen van onze leveranciers buiten het toepassingsgebied van dit beleid en moeten deze rechtstreeks aan de leverancier worden gemeld in overeenstemming met hun openbaarmakingsbeleid (indien van toepassing). Als u niet zeker weet of een systeem binnen het toepassingsgebied valt, neem dan contact met ons op via security@soluz.io voordat u met uw onderzoek begint.
TOESTEMMING
Als u zich tijdens uw beveiligingsonderzoek te goeder trouw inspant om dit beleid na te leven, beschouwen wij uw onderzoek als geautoriseerd, zullen wij met u samenwerken om het probleem snel te begrijpen en op te lossen, en zal Soluz.io geen juridische stappen ondernemen met betrekking tot uw onderzoek. Indien een derde partij juridische stappen tegen u onderneemt voor activiteiten die in overeenstemming met dit beleid zijn uitgevoerd, zullen wij deze toestemming bekendmaken. Wij gebruiken cookies voor de volgende doeleinden:
RICHTLIJNEN
Onder dit beleid wordt onder ‘onderzoek’ verstaan: activiteiten waarbij u:
Ons zo snel mogelijk op de hoogte stelt nadat u een reëel of potentieel beveiligingsprobleem hebt ontdekt.
Alles in het werk stelt om schendingen van de privacy, verslechtering van de gebruikerservaring, verstoring van productiesystemen en vernietiging of manipulatie van gegevens te voorkomen.
Exploits alleen gebruikt voor zover dat nodig is om de aanwezigheid van een kwetsbaarheid te bevestigen. Exploits niet gebruikt om gegevens te compromitteren of te exfiltreren, permanente toegang tot de opdrachtregel te verkrijgen of om door te stoten naar andere systemen.
Ons een redelijke hoeveelheid tijd geeft om het probleem op te lossen voordat u het openbaar maakt.
Geen grote hoeveelheden rapporten van lage kwaliteit indient.
Zodra u hebt vastgesteld dat er een kwetsbaarheid bestaat of u gevoelige gegevens tegenkomt (waaronder persoonlijk identificeerbare informatie, financiële informatie of eigendomsinformatie of handelsgeheimen van een partij), moet u uw test stoppen, ons onmiddellijk op de hoogte stellen en deze gegevens aan niemand anders bekendmaken.
TESTMETHODEN
De volgende testmethoden zijn niet toegestaan:
Netwerk denial of service (DoS of DDoS) tests of andere tests die de toegang tot of schade aan een systeem of gegevens belemmeren.
Fysieke tests (bijv. toegang tot kantoren, open deuren, tailgating), social engineering (bijv. phishing, vishing) of andere niet-technische kwetsbaarheidstests.
EEN KWETSBAARHEID MELDEN
Wij accepteren meldingen van kwetsbaarheden via security@soluz.io.
Wij ondersteunen geen PGP-versleutelde e-mails. Neem voor bijzonder gevoelige informatie contact met ons op via security@soluz.io om verdere stappen voor het uitwisselen van de informatie te bespreken.
Wij behandelen uw melding strikt vertrouwelijk en geven uw persoonlijke gegevens niet zonder uw toestemming door aan derden.
​
Wat we van u verwachten
Om ons te helpen bij het beoordelen en prioriteren van meldingen, raden we u aan om in uw meldingen het volgende te vermelden:
​
Beschrijf de locatie waar de kwetsbaarheid is ontdekt en de mogelijke gevolgen van misbruik.
Geef een gedetailleerde beschrijving van de stappen die nodig zijn om de kwetsbaarheid te reproduceren (proof of concept-scripts of schermafbeeldingen zijn nuttig).
Gebruik indien mogelijk de Engelse taal.
​​
Wat u van ons kunt verwachten
Wij verbinden ons ertoe om zo open en snel mogelijk met u te communiceren.
Binnen drie werkdagen bevestigen wij de ontvangst van uw melding.
Wij zullen u naar beste vermogen bevestigen dat de kwetsbaarheid bestaat en zo transparant mogelijk zijn over de stappen die wij nemen tijdens het herstelproces, inclusief over kwesties of uitdagingen die de oplossing kunnen vertragen.
We zullen een open dialoog onderhouden om kwesties te bespreken.
Zodra de betreffende kwetsbaarheden zijn verholpen, krijgt de melder van de kwetsbaarheid een eervolle vermelding op onze website.
Naast onze eigen cookies, kunnen we ook verschillende cookies van derden gebruiken om gebruiksstatistieken van de Service te rapporteren, advertenties op en via de Service te leveren, enzovoort.
VRAGEN
Vragen over dit beleid kunt u sturen naar security@soluz.io. Wij nodigen u ook uit om contact met ons op te nemen met suggesties voor verbetering van dit beleid.
VRAGEN
Vragen over dit beleid kunt u sturen naar security@soluz.io. Wij nodigen u ook uit om contact met ons op te nemen met suggesties voor verbetering van dit beleid.