Coordinated Vulnerability Disclosure
CVD beleid Snel.com
Klanten beoordelen ons met een 4,9/5 op Google reviews
Responsible disclosure
Bij Snel.com vinden we de veiligheid van onze webapplicaties erg belangrijk. Ondanks onze inspanningen kunnen kwetsbaarheden voorkomen. Als je een kwetsbaarheid in onze systemen ontdekt, nodigen we je uit deze aan ons te melden, zodat we snel actie kunnen ondernemen.
We waarderen je hulp bij het beschermen van onze klanten en systemen.
We vragen je
- Je bevindingen te mailen naar [email protected]
- De kwetsbaarheid niet te misbruiken, bijvoorbeeld door gegevens te downloaden, wijzigen of verwijderen
- Het probleem vertrouwelijk te houden totdat het is opgelost
- Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering of hackingtools, zoals vulnerability scanners
- Voldoende informatie te geven om het probleem te kunnen reproduceren, zodat we het snel kunnen oplossen
Wij beloven
- We reageren binnen 5 werkdagen met een beoordeling van de melding en een verwachte datum voor een oplossing
- Tegen jou worden geen juridische stappen ondernomen als je deze richtlijnen volgt
- Je melding wordt vertrouwelijk behandeld, en je persoonlijke gegevens worden niet zonder jouw toestemming gedeeld
- We houden je op de hoogte van de voortgang bij het oplossen van het probleem
- Indien gewenst vermelden we je naam als de ontdekker in berichtgeving over het probleem
- We bieden een beloning voor het melden van onbekende veiligheidsproblemen, afhankelijk van de ernst van het lek en de kwaliteit van de melding, met een minimum van een waardebon van € 50,-. Triviale kwetsbaarheden of niet-exploiteerbare bugs zijn uitgesloten (zie 'Uitsluitingen' voor details)
Ons doel is om alle problemen snel op te lossen, alle betrokken partijen op de hoogte te houden en betrokken te zijn bij publicaties over het probleem na de oplossing ervan.
Snel.com biedt geen beloning voor triviale kwetsbaarheden of bugs die niet misbruikt kunnen worden. Hieronder staan voorbeelden (niet uitputtend) van bekende kwetsbaarheden en geaccepteerde risico’s, die buiten bovenstaande regeling vallen:
Uitsluitingen
- HTTP 404 codes/pagina’s of andere HTTP non-200 codes/pagina’s en content spoofing/text injecting op deze pagina’s
- HTTP security headers gerelateerde meldingen als:
- Strict-Transport-Security
- X-Frame-Options
- X-XSS-Protection
- X-Content-Type-Options
- Content-Security-Policy
- Issues met SSL-configuratie issues
- SSL Forward secrecy uitgeschakeld
- Zwakke/onveilige cipher suites
- Fingerprinting/versievermelding op publieke services
- Ontbrekende best practices of output van geautomatiseerde scanhulpmiddelen zonder bewijs van exploiteerbaarheid
- Output geautomatiseerde scans van hulpprogramma’s. Voorbeeld: Web-, SSL / TLS-scan, Nmap-scanresultaten, enz.
- Publieke bestanden of directories met ongevoelige informatie (bijvoorbeeld robots.txt)
- Clickjacking en problemen die alleen te exploiten zijn via clickjacking
- Geen secure/HTTP-only flags op ongevoelige cookies
- OPTIONS HTTP method ingeschakeld
- Issues met STARTTLS, DNSSEC, DANE, SPF, DKIM of DMARC
- Host header injection
- Informatieblootstelling in metadata
Bronvermelding: Ons beleid is gebaseerd op het voorbeeldbeleid van Floor Terra (responsibledisclosure.nl) en valt onder een Creative Commons Naamsvermelding 3.0 licentie.
Vriendelijke service
24/7/365 support
Enterprise platform
Hoe kunnen we helpen?
Onze klanten prijzen ons voor de goede service die ze ontvangen. Wil je een voorproefje? Neem contact met ons op, wij helpen je de beste oplossing te vinden voor jouw hosting.
Vriendelijke service
24/7/365 support
Enterprise platform