Adviesgesprek
Security

Responsible disclosure

Bij Je-Ma ICT Beheer staat veiligheid van onze omgeving en die van onze klanten centraal. Heeft u een kwetsbaarheid ontdekt? We waarderen het zeer als u die op een verantwoorde manier bij ons meldt.

Wat we van u vragen

  • Meld de kwetsbaarheid zo snel mogelijk nadat u die ontdekt heeft, en doe dat uitsluitend bij ons via de kanalen hieronder.
  • Deel de bevinding niet met derden en publiceer niets totdat de kwetsbaarheid is opgelost en wij gezamenlijk akkoord zijn over publicatie.
  • Misbruik de kwetsbaarheid niet verder dan strikt nodig om de melding te onderbouwen. Stop direct zodra u toegang heeft tot data die niet van u is.
  • Beschadig of wijzig geen systemen, verander of verwijder geen data, en raak geen gegevens van anderen aan.
  • Lever voldoende informatie aan om de kwetsbaarheid te reproduceren: stappenplan, gebruikte tooling, getroffen URL of component, en eventueel een proof-of-concept.

Wat u van ons mag verwachten

  • Wij reageren binnen drie werkdagen op uw melding met een eerste inhoudelijke terugkoppeling.
  • Wij houden u op de hoogte van de voortgang en streven naar een oplossing binnen redelijke termijn, afhankelijk van de complexiteit.
  • Wij behandelen uw melding strikt vertrouwelijk en delen uw persoonsgegevens niet zonder uw toestemming met derden, tenzij wij daartoe wettelijk verplicht zijn.
  • Wij ondernemen geen juridische stappen tegen u, mits u zich aan de spelregels op deze pagina heeft gehouden.
  • Op uw verzoek noemen wij u na het oplossen van de kwetsbaarheid als ontdekker. Anonimiteit kan ook.

Wat valt binnen scope

  • Onze publiek bereikbare websites (alle subdomeinen van je-ma.com).
  • Onze mailservers en de bijbehorende mail-infrastructuur.
  • Onze klantportalen en bijbehorende API's, voor zover die door ons worden beheerd.

Wat valt buiten scope

  • Denial-of-service-aanvallen (DoS/DDoS) en pogingen daartoe.
  • Social engineering, phishing-aanvallen op medewerkers of klanten, en fysieke beveiligingsaanvallen.
  • Spam, brute-force op inlogformulieren of het massaal versturen van captcha-omzeilingen.
  • Bevindingen die uitsluitend voortkomen uit automatische scanners zonder reproduceerbare impact.
  • Best-practice-adviezen zonder direct aantoonbaar veiligheidsrisico (bijvoorbeeld ontbrekende security-headers in een specifieke configuratie zonder concrete exploit).

Hoe melden

Stuur uw melding naar security@je-ma.com. Wij hanteren ook een security.txt volgens RFC 9116, waarin u de actuele PGP-sleutel en kanalen vindt. Versleutel gevoelige meldingen waar mogelijk.

Beloning

Wij hanteren geen vast bug-bounty-programma met geldelijke beloningen. Voor serieuze, reproduceerbare bevindingen tonen wij onze waardering met een naamsvermelding, een hall-of-fame-vermelding en, naar gelang impact en context, een passend gebaar van dank.

Voorbehoud

Deze procedure is gebaseerd op de leidraad Coordinated Vulnerability Disclosure van het NCSC. Wij kunnen dit beleid op elk moment wijzigen. De op deze pagina gepubliceerde versie is steeds van toepassing.

Melding maken Bekijk security.txt