logo

Laden...

Responsible Disclosure Beleid

Uw inspanningen om ons te helpen onze diensten veilig te houden worden zeer gewaardeerd.

Onze Toewijding

Bij ITGOIT beschouwen we de beveiliging van onze systemen als een topprioriteit. Maar hoe hard we ook werken, er kunnen altijd kwetsbaarheden aanwezig zijn. Als u een kwetsbaarheid ontdekt, willen we dat graag weten zodat we zo snel mogelijk maatregelen kunnen nemen. We willen u vragen ons te helpen onze klanten en systemen beter te beschermen.

Hoe een Kwetsbaarheid te Melden

Stuur uw bevindingen alstublieft via de onderstaande knop. We raden u ten zeerste aan om uw bericht te versleutelen met onze OpenPGP-sleutel om de informatie te beschermen. Volg alstublieft de onderstaande regels:

  • Voldoende informatie aan te leveren om het probleem in kaart te brengen, zodat wij het probleem zo snel mogelijk kunnen adresseren. Het IP-adres of de URL van het systeem en een beschrijving van jouw bevinding zijn vaak voldoende. Echter bij complexe problemen kan meer informatie noodzakelijk zijn.
  • Je contactgegevens achter te laten, zodat wij contact met je kunnen opnemen.
  • Je bevindingen zo snel mogelijk na ontdekking bij ons te melden.
  • Geen informatie over jouw bevindingen met iemand te delen, behalve met de door ITGOIT aangewezen personen.
  • Zorgvuldig met de kennis van jouw bevindingen om te gaan en enkel te gebruiken om ons op de hoogte te brengen van hetgeen je hebt ontdekt.
Meld via E-mail

Scope

In Scope

  • Elke domein of dienst die rechtstreeks eigendom is van ITGOIT, zoals itgoit.nl en zijn subdomeinen.
  • Onze klantgerichte webapplicaties en API's.
  • Onze backend-infrastructuur die rechtstreeks ondersteuning biedt aan in-scope diensten.

Wat je niet hoeft te melden (Out of Scope)

  • Clickjacking op pagina's zonder gevoelige acties en zonder een gedocumenteerde reeks klikken die een gevoelige functionaliteit kunnen misbruiken.
  • Cross-Site Request Forgery (CSRF) voor niet-significante acties.
  • CORS-misconfiguraties wanneer de Credentials-header niet is ingesteld.
  • Ontbrekende HTTP-beveiligingsheaders die niet direct leiden tot een kwetsbaarheid (bijv. CSP, HSTS, X-Content-Type-Options, etc.).
  • Ontbrekende best practices in SSL/TLS-configuratie.
  • Ontbrekende best practices in Content Security Policy.
  • Ontbrekende e-mail best practices (Ongeldige, onvolledige of ontbrekende SPF/DKIM/DMARC-records, etc.).
  • Ontbrekende cookie-vlaggen op cookies die geen sessie- of andere gevoelige informatie bevatten.
  • Informatielekken – standaard blootgestelde configuratiebestanden zonder gevoelige gegevens.
  • Open redirect-kwetsbaarheden die geen extra veiligheidsimpact aantonen.
  • Content spoofing en tekstinjectieproblemen zonder een aanvalsvector aan te tonen of de mogelijkheid om HTML/CSS te wijzigen.
  • Host header-injectie zonder aantoonbare impact.
  • Kwetsbaarheden die kort na hun openbare bekendmaking worden gemeld (gun ons alstublieft een redelijke tijd om te patchen).
  • Kwetsbaarheidsrapporten van geautomatiseerde tools zonder validatie.

Safe Harbor

Wij beschouwen activiteiten die in overeenstemming met dit beleid worden uitgevoerd als geautoriseerd gedrag. Voor zover uw activiteiten in overeenstemming zijn met dit beleid, zullen wij geen rechtszaak of wetshandhavingsonderzoek tegen u starten als reactie op uw melding. Wij hopen dat u op uw beurt geen juridische stappen tegen ITGOIT zult ondernemen.