Kwetsbaarheid melden (CVD)

Bij Everdune nemen we de beveiliging van onze systemen serieus. Ondanks onze zorg kan er toch een kwetsbaarheid in zitten. Ontdek je er een? Laat het ons weten, dan lossen we het samen met jou op een verantwoorde manier op. Dit beleid beschrijft hoe je dat doet en wat je van ons mag verwachten.
Hall of Fame
Contact
  • 15+ jaar dé digitale innovatiepartner
  • ISO 27001 gecertificeerd & NIS2 ready
  • Gekozen door 60+ technische bedrijven

Wat we van je vragen

  • Meld je bevinding zo snel mogelijk na ontdekking, via de contactgegevens onderaan.

  • Geef voldoende informatie om de kwetsbaarheid te reproduceren, zodat we die snel kunnen beoordelen en oplossen.

  • Ga niet verder dan nodig om het probleem aan te tonen. Download, wijzig of verwijder geen gegevens en gebruik niet meer toegang dan strikt noodzakelijk.

  • Veroorzaak geen schade of overlast. Geen denial-of-service, geen geautomatiseerd scannen dat de dienst belast, geen social engineering, phishing of fysieke aanvallen.

  • Deel je bevinding niet met derden en publiceer er niet over voordat het is opgelost, zodat we het samen gecoördineerd kunnen afhandelen.

  • Houd je aan de wet.

Scope

Binnen scope:

  • Onze eigen systemen, applicaties en domeinen.

  • Onze software en componenten, óók waar die draaien op platformen die wij voor klanten beheren.

Beperk je onderzoek tot díe componenten en raak niet bewust de bredere klantomgeving, hun gegevens of de beschikbaarheid van hun dienst — uit respect voor onze klanten en hun data. Twijfel je of iets onder de scope valt? Neem eerst contact met ons op.

Wat we niet als melding behandelen

Om ruis te beperken behandelen we de volgende zaken niet als kwetsbaarheid, tenzij je een concrete, exploiteerbare impact kunt aantonen:

  • Ontbrekende of "best practice" HTTP-headers (zoals CSP of HSTS) zonder aantoonbare impact.

  • SPF-, DKIM- of DMARC-configuraties zonder werkend misbruikscenario.

  • Onbewerkte uitvoer van geautomatiseerde scanners, zonder bewijs dat iets daadwerkelijk te misbruiken is.

  • Self-XSS, clickjacking zonder gevoelige handeling, en vergelijkbare bevindingen zonder reëel risico.

  • Ontbrekende rate limiting zonder aangetoonde impact.

  • Het tonen van software- of versie-informatie (banner disclosure).

  • Zwakke of verlopen TLS-ciphers zonder werkende aanval.

  • Denial-of-service, social engineering en fysieke toegang.

Wat je van ons mag verwachten

  • Een ontvangstbevestiging binnen 3 werkdagen.

  • Een inhoudelijke terugkoppeling binnen 10 werkdagen: of we de melding als geldig beoordelen en wat we ermee doen.

  • Regelmatige updates over de voortgang zolang de afhandeling loopt.

  • We streven ernaar de kwetsbaarheid in een redelijk tempo op te lossen, afhankelijk van de ernst — kritieke zaken met voorrang. We stemmen met je af wanneer er gepubliceerd kan worden.

  • Erkenning op onze hall of fame, als je dat wilt en je melding geldig en nieuw is.

  • We bieden geen geldelijke vergoeding voor meldingen.

Vrijwaring

Houd je je aan dit beleid, dan beschouwen we je melding als te goeder trouw. We ondernemen dan geen juridische stappen tegen jou en doen geen aangifte naar aanleiding van je onderzoek. We kunnen niet garanderen dat derden (zoals klanten of justitie) hetzelfde standpunt innemen; blijf daarom binnen de scope en binnen de wet.

Contact

Stuur je melding naar security@everdune.com. Versleutel gevoelige informatie zo mogelijk met onze PGP-sleutel: D4A3C229013F53736F5B23C4D5E3D2A7C80978F8.