Responsible Disclosure
Wij waarderen het als beveiligingsonderzoekers ons helpen onze systemen veilig te houden. Hieronder beschrijven wij hoe u op verantwoorde wijze kwetsbaarheden kunt melden.
Wat wij vragen
Als u een kwetsbaarheid of beveiligingsprobleem ontdekt in onze systemen, vragen wij u:
- Het probleem zo snel mogelijk te melden via security@wastenix.nl.
- Voldoende informatie te verstrekken zodat wij het probleem kunnen reproduceren en verhelpen (bijv. URL, stappen, screenshots).
- De kwetsbaarheid niet openbaar te maken voordat wij deze hebben verholpen.
- Geen misbruik te maken van de kwetsbaarheid, bijvoorbeeld door meer data te downloaden dan nodig is om het lek aan te tonen, of door gegevens van derden te wijzigen of te verwijderen.
- Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service (DDoS), spam of applicaties van derden.
Wat wij beloven
- Wij reageren binnen 5 werkdagen op uw melding met een beoordeling en een verwacht tijdspad voor een oplossing.
- Wij behandelen uw melding vertrouwelijk en delen uw persoonsgegevens niet met derden zonder uw toestemming, tenzij wij daartoe wettelijk verplicht zijn.
- Wij stellen u op de hoogte wanneer het probleem is verholpen.
- Indien u zich aan bovenstaande voorwaarden houdt, zullen wij geen juridische stappen ondernemen tegen u in verband met de melding.
- Wij streven ernaar om beveiligingsproblemen binnen 90 dagen na melding te verhelpen.
Scope
Dit beleid is van toepassing op de volgende systemen en diensten:
- wastenix.nl — het WasteNix SaaS-platform (frontend en API)
- *.wastenix.nl — subdomeinen van WasteNix
Expliciet buiten scope vallen:
- Diensten van derden (Auth0, Azure, Google Maps)
- Fysieke beveiliging van kantoren of datacenters
- Social engineering van medewerkers
Contact
Meld kwetsbaarheden via e-mail: security@wastenix.nl
U kunt uw bericht versleutelen met onze PGP-sleutel (beschikbaar op verzoek).