CYBERSECURITY & ICT SERVICES
ContactSupport

Responsible Disclosure
(kwetsbaarheid melden)

Bij Bokumo ICT vinden we beveiliging belangrijk. Toch kan er ondanks alle maatregelen een kwetsbaarheid aanwezig zijn in onze systemen of websites. Als u denkt een beveiligingsprobleem te hebben gevonden, horen wij dat graag zodat we het kunnen onderzoeken en oplossen.

Contact
U kunt een beveiligingsmelding sturen naar: [email protected]

Vermeld in uw melding bij voorkeur:

  1. De exacte URL of het subdomein waarop u het probleem ziet.

  2. Een korte omschrijving van de kwetsbaarheid (wat gaat er mis).

  3. Stappen om het te reproduceren, inclusief proof of concept waar mogelijk.

  4. Wat volgens u de impact is.

  5. Eventuele ondersteunende informatie zoals screenshots, headers of logs.

  6. Wanneer u dit heeft vastgesteld.

Wat wij van u vragen
Om schade te voorkomen vragen wij u om:

  1. Het probleem niet verder te misbruiken dan nodig is om aan te tonen dat het bestaat.

  2. Geen gegevens in te zien, te kopiëren, te wijzigen of te verwijderen.

  3. Geen accounts van anderen te testen.

  4. Geen social engineering toe te passen (zoals phishing of telefonisch om informatie vragen).

  5. Geen brute force, denial-of-service of verstorende scans uit te voeren.

  6. Uw bevindingen vertrouwelijk te houden totdat er een oplossing is, zodat kwaadwillenden geen voordeel hebben.

Wat u van ons mag verwachten

  1. Wij bevestigen ontvangst van uw melding.

  2. Wij beoordelen de melding en proberen het probleem te reproduceren.

  3. Wij houden u op de hoogte van de voortgang waar dat redelijk en veilig mogelijk is.

  4. Als de melding terecht is, nemen wij passende maatregelen om het probleem op te lossen.

Tijdslijnen

  1. Ontvangstbevestiging: binnen 3 werkdagen.

  2. Eerste beoordeling: binnen 10 werkdagen (afhankelijk van complexiteit).

  3. Oplossing: zo snel mogelijk, afhankelijk van risico en impact.

Scope
Deze policy geldt voor kwetsbaarheden die betrekking hebben op:

  • Websites en diensten onder het domein bokumo.nl en bijbehorende (sub)domeinen die door Bokumo ICT worden beheerd.

Niet in scope

  • Kwetsbaarheden in systemen of diensten van derde partijen waar Bokumo ICT geen beheer over heeft.

  • Meldingen zonder reproduceerbare informatie.

  • Bevindingen die alleen gaan over verouderde softwareversies zonder aantoonbare impact.

  • Fysieke aanvallen of diefstal, en aanvallen die verstoring veroorzaken.

Beloning
Bokumo ICT heeft op dit moment geen publiek bug bounty programma. Wel waarderen wij het als u een kwetsbaarheid op een nette manier meldt.

Publicatie
Wilt u de kwetsbaarheid publiceren (bijvoorbeeld in een blog)? Neem dan eerst contact op. We stemmen graag af wanneer publicatie veilig kan.