1. Doel
1.1. Mitss B.V. (DealSign.nl) hecht waarde aan de beveiliging van haar platform en de gegevens van gebruikers en ondertekenaars.
1.2. Dit beleid beschrijft hoe beveiligingsonderzoekers kwetsbaarheden verantwoord kunnen melden.
1.3. Wij vragen onderzoekers ons de gelegenheid te geven een kwetsbaarheid te onderzoeken en te verhelpen voordat informatie publiek wordt gedeeld.
2. Scope
Dit beleid is van toepassing op beveiligingskwetsbaarheden in:
- dealsign.nl en gerelateerde DealSign.nl-domeinen;
- de DealSign.nl-webapplicatie en API's;
- ondertekenflows en authenticatie.
Buiten scope (tenzij anders overeengekomen):
- social engineering of phishing tegen medewerkers of gebruikers;
- fysieke toegang tot systemen;
- denial-of-service-aanvallen;
- kwetsbaarheden in diensten van derden (Mollie, Twilio, Didit, Google) — meld deze rechtstreeks aan de betreffende partij;
- kwetsbaarheden in software van derden die niet specifiek DealSign.nl-configuratie betreffen.
3. Wat wij vragen
3.1. Meld verantwoord: stuur ons een duidelijke beschrijving zodra u een kwetsbaarheid ontdekt.
3.2. Geef ons redelijke tijd om het probleem te onderzoeken en te verhelpen voordat u het publiek maakt.
3.3. Vermijd schade:
- geen toegang tot gegevens van anderen dan uw eigen testaccount;
- geen wijziging of verwijdering van gegevens die niet van u zijn;
- geen exploitatie buiten wat nodig is om de kwetsbaarheid aan te tonen;
- geen social engineering, spam of overmatige automatische scans die de dienst verstoren.
3.4. Gebruik testaccounts waar mogelijk. Maak geen accounts voor andere personen zonder toestemming.
3.5. Vertrouwelijkheid: deel details van de kwetsbaarheid niet publiek totdat wij het probleem hebben verholpen of een andere afspraak hebben gemaakt.
4. Wat u kunt verwachten
4.1. Bevestiging: wij streven ernaar uw melding binnen 5 werkdagen te bevestigen.
4.2. Beoordeling: wij onderzoeken de melding en houden u op de hoogte van de voortgang waar redelijk.
4.3. Geen juridische stappen voor onderzoekers die:
- zich houden aan dit beleid;
- geen schade veroorzaken of veroorzaken buiten wat nodig is voor het aantonen van de kwetsbaarheid;
- geen gegevens van derden exporteren of misbruiken.
4.4. Dit is geen contractuele garantie en doet geen afstand van rechten indien wetgeving anders vereist.
4.5. Bug bounty / beloning: op dit moment bieden wij geen financiële beloning voor meldingen. Wij waarderen meldingen en kunnen, naar keuze, publieke erkenning geven (met uw toestemming).
5. Hoe melden
| Kanaal | Adres |
|---|---|
| E-mail (voorkeur) | [email protected] |
| Alternatief | [email protected] |
5.1 Inhoud van uw melding
Vermeld waar mogelijk:
- Beschrijving van de kwetsbaarheid
- Stappen om te reproduceren
- Impact (wat kan een aanvaller bereiken?)
- Betrokken URL's of endpoints
- Proof-of-concept (indien beschikbaar)
- Uw contactgegevens voor follow-up
Niet opnemen in meldingen: wachtwoorden, pincodes, volledige tokens, ID-data of andere gevoelige gegevens van derden.
6. Verboden activiteiten
Ondanks dit beleid blijft het volgende verboden:
- ongeautoriseerde toegang tot systemen of gegevens;
- het plaatsen van malware;
- het verstoren van de dienst voor andere gebruikers;
- het openbaar maken van klantgegevens of documenten.
Zie ook de Acceptable Use Policy.
7. Safe harbor — beperkingen
7.1. Dit beleid is bedoeld als uitnodiging tot verantwoorde samenwerking, geen vrijbrief voor alle vormen van security testing.
7.2. Wij kunnen meldingen afwijzen die buiten scope vallen of onacceptabel risico vormen.
7.3. Indien u twijfelt of een test is toegestaan, neem vooraf contact op.
8. Versie en wijzigingen
Wij kunnen dit beleid wijzigen. De actuele versie staat op dealsign.nl.