Responsible Disclosure-beleid
Je inzet om ons te helpen onze diensten veilig te houden wordt zeer gewaardeerd.
Responsible Disclosure
Onze Toewijding
Bij ITGOIT beschouwen we de veiligheid van onze systemen als een topprioriteit. Hoeveel moeite we echter ook steken in systeembeveiliging, er kunnen nog steeds kwetsbaarheden aanwezig zijn. Als je een kwetsbaarheid ontdekt, horen we dat graag zodat we zo snel mogelijk stappen kunnen ondernemen om deze te verhelpen. We vragen je om ons te helpen onze klanten en systemen beter te beschermen.
Scope
Binnen Scope
- Elk domein of dienst dat direct eigendom is van ITGOIT, zoals itgoit.nl en de subdomeinen.
- Onze klantgerichte webapplicaties en API's.
- Onze backend-infrastructuur die direct in-scope diensten ondersteunt.
Wat je niet hoeft te melden (Buiten Scope)
- Clickjacking op pagina's zonder gevoelige acties en zonder een gedocumenteerde reeks klikken die een gevoelige functionaliteit kunnen misbruiken.
- Cross-Site Request Forgery (CSRF) voor niet-significante acties.
- CORS-misconfiguraties wanneer de Credentials-header niet is ingesteld.
- Ontbrekende HTTP security headers die niet direct leiden tot een kwetsbaarheid (bijv. CSP, HSTS, X-Content-Type-Options, etc.).
- Ontbrekende best practices in SSL/TLS-configuratie.
- Ontbrekende best practices in Content Security Policy.
- Ontbrekende e-mail best practices (Ongeldige, onvolledige of ontbrekende SPF/DKIM/DMARC-records, etc.).
- Ontbrekende cookie-flags op cookies die geen sessie- of andere gevoelige informatie bevatten.
- Information Disclosure – standaard blootgestelde configuratiebestanden zonder gevoelige data.
- Open redirect-kwetsbaarheden die geen extra veiligheidsimpact aantonen.
- Content spoofing en text injection problemen zonder een aanvalsvector aan te tonen of in staat te zijn HTML/CSS te wijzigen.
- Host header Injection zonder aantoonbare impact.
- Kwetsbaarheden die kort na hun publieke release worden gemeld (geef ons een redelijke termijn om te patchen).
- Kwetsbaarheidsrapporten van geautomatiseerde tools zonder handmatige validatie.
Safe Harbor
We beschouwen activiteiten die consistent zijn met dit beleid als geautoriseerd gedrag onder de wetgeving inzake computercriminaliteit. Voor zover je activiteiten in overeenstemming zijn met dit beleid, zullen we geen rechtszaak of strafrechtelijk onderzoek tegen je starten in reactie op je melding. We hopen dat jij op jouw beurt ook geen juridische stappen tegen ITGOIT zult ondernemen.
Hoe meld je een kwetsbaarheid
Stuur je bevindingen door de onderstaande knop te gebruiken. We moedigen je ten zeerste aan om je bericht te versleutelen met onze OpenPGP-sleutel om de informatie te beschermen. Volg a.u.b. de onderstaande regels:
- Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Het IP-adres of de URL van het systeem en een beschrijving van de kwetsbaarheid is vaak voldoende, maar bij complexe kwetsbaarheden kan meer informatie nodig zijn.
- Laat je contactgegevens achter zodat we contact met je kunnen opnemen.
- Meld je bevindingen zo snel mogelijk na ontdekking.
- Deel de informatie over het probleem niet met anderen totdat het is opgelost.
- Ga verantwoordelijk om met de kennis over het probleem en gebruik het niet verder dan nodig is om de kwetsbaarheid aan te tonen.