Responsible disclosure
Simpel vindt het belangrijk dat onze systemen, websites en app veilig zijn en streeft een hoge beveiliging daarvan na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt.
Indien je een zwakke plek in één van onze systemen, websites of app vindt, horen wij dit graag van je. Jouw melding stelt ons in staat om direct de noodzakelijke maatregelen te nemen om de gevonden kwetsbaarheid te verhelpen. Wij hanteren voor meldingen de zogenaamde ‘Responsible disclosure’ principes. Dat heeft als gevolg dat bij verantwoord handelen en omgaan met gevonden kwetsbaarheden, wij dit erg waarderen. We zullen dan zo snel mogelijk maatregelen nemen en hanteren hiervoor onderstaand beleid.
Wij vragen je:
- Je bevindingen kun je mailen naar [email protected].
- Versleutel de bevindingen indien mogelijk met de PGP-sleutel onderaan de pagina om te voorkomen dat de informatie in verkeerde handen valt.
- Geef voldoende informatie zodat wij het probleem kunnen reproduceren zodat Simpel het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Laat altijd je contactgegevens achter zodat wij contact met je kunnen opnemen; dit kan een e-mailadres of telefoonnummer zijn.
- Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
- Ga verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
Vermijd de volgende handelingen:
- Het plaatsen van malware.
- Het kopiëren, wijzigen of verwijderen van gegevens in een systeem
- Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Het gebruikmaken van het zogeheten “bruteforcen” van toegang tot systemen.
- Het gebruikmaken van denial-of-service of social engineering.
Wat wij beloven:
- Binnen 3 dagen reageren we op je melding. Hierbij delen wij onze beoordeling en de verwachte datum waarop we een oplossing implementeren.
- Als je je aan bovenstaande voorwaarden hebt gehouden zal Simpel geen juridische consequenties verbinden aan deze melding.
- Je melding behandelen wij vertrouwelijk. We zullen je persoonlijke gegevens niet zonder je toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
- Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
- In eventuele berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, je naam vermelden als de ontdekker. Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.