Responsible Disclosure

Vulnerability Disclosure Policy

Wij waarderen security researchers die ons helpen onze systemen veiliger te maken. Hier vindt u richtlijnen voor het verantwoord melden van kwetsbaarheden.

security@jamasec.com Neem Contact Op

Spelregels

Volg deze richtlijnen en wij zullen geen juridische stappen ondernemen.

Responsible Disclosure

Geef ons minimaal 90 dagen om de kwetsbaarheid te verhelpen voordat u publiceert.

Geen Data Exfiltratie

Minimaliseer dataverzameling. Bewijs de kwetsbaarheid zonder onnodige data te downloaden.

Geen Schade

Geen wijzigingen aan systemen, geen destructieve acties, geen impact op beschikbaarheid.

Goede Intenties

Research alleen met het doel security te verbeteren, niet voor persoonlijk gewin.

Scope

In Scope

jamasec.com en alle subdomeinen
Publiek toegankelijke webapplicaties
API endpoints (publiek gedocumenteerd)
Mobile applicaties (indien beschikbaar)
Authenticatie en autorisatie mechanismen

Out of Scope

Fysieke security testing of social engineering op medewerkers
Denial of Service (DoS/DDoS) aanvallen
Spam of phishing naar JamaSec medewerkers of klanten
Third-party services die wij gebruiken (report direct aan hen)
Vulnerabilities in out-of-scope systemen of netwerken
Automated scanning zonder voorafgaande toestemming

Disclosure Proces

Hoe wij omgaan met uw vulnerability rapport.

Ontdekking

U vindt een security kwetsbaarheid in onze systemen.

Rapportage

Stuur een gedetailleerd rapport naar security@jamasec.com met PGP encryptie.

Bevestiging

Wij bevestigen ontvangst binnen 2 werkdagen en starten analyse.

Triage

Binnen 10 werkdagen ontvangt u een eerste beoordeling en severity classificatie.

Remediation

Wij werken aan een fix en houden u op de hoogte van de voortgang.

Erkenning

Na de fix ontvangt u erkenning in onze Hall of Fame (indien gewenst).

Rapport Richtlijnen

Een goed rapport helpt ons de kwetsbaarheid snel te begrijpen en op te lossen.

Wat te vermelden in uw rapport:

Beschrijving: Duidelijke uitleg van de kwetsbaarheid en potentiële impact.
Stappen: Gedetailleerde reproductiestappen die wij kunnen volgen.
Impact: Wat kan een aanvaller bereiken met deze kwetsbaarheid?
Proof of Concept: Screenshots, video, of code die de kwetsbaarheid demonstreert.
Suggesties: Aanbevelingen voor remediatie (optioneel maar gewaardeerd).

Klaar om te Rapporteren?

Stuur uw bevindingen naar security@jamasec.com. Voor gevoelige informatie kunt u onze PGP key gebruiken.

security@jamasec.com Pentest voor Uw Organisatie?