Security policy: Basalt Revalidatie

Responsible disclosure

Basalt Revalidatie vindt de veiligheid van haar systemen en gegevens van groot belang. Ondanks onze zorg voor beveiliging kan het voorkomen dat er een kwetsbaarheid aanwezig is. Wij waarderen het als u deze op een verantwoorde manier bij ons meldt, zodat wij passende maatregelen kunnen nemen.

Wat wij van u vragen

Wij verzoeken u om:

  • Kwetsbaarheden zo snel mogelijk te melden via: security@basaltrevalidatie.nl
  • Voldoende informatie te verstrekken om het probleem te reproduceren, zoals:
    •     -URL of systeem
    •     -beschrijving van de kwetsbaarheid
    •      -eventuele proof-of-concept (zonder misbruik)
  • Uw bevindingen vertrouwelijk te behandelen en niet openbaar te maken totdat het probleem is opgelost

Wat is toegestaan

Wij staan toe dat u:

  • Kwetsbaarheden onderzoekt binnen onze publiek toegankelijke systemen
  • Gebruik maakt van gangbare testmethoden (bijv. inputvalidatie, authenticatiecontrole)
  • Proof-of-concept uitvoert, mits:
    •     geen schade wordt veroorzaakt
    •     geen gegevens worden gewijzigd of verwijderd

Wat niet is toegestaan

Het is niet toegestaan om:

  • DDoS-aanvallen of andere vormen van overbelasting uit te voeren
  • Geautomatiseerde scans uit te voeren die de beschikbaarheid beïnvloeden
  • Gegevens van derden in te zien, te kopiëren, te wijzigen of te verwijderen (data-exfiltratie)
  • Toegang te verkrijgen tot accounts, systemen of gegevens die niet van u zijn
  • Malware te uploaden of systemen actief te verstoren
  • Social engineering of phishing toe te passen
  • Kwetsbaarheden publiek te maken zonder toestemming

Onze belofte

Wanneer u een kwetsbaarheid meldt:

  • Bevestigen wij ontvangst binnen 2 werkdagen
  • Geven wij binnen 5 werkdagen een eerste inhoudelijke reactie
  • Houden wij u op de hoogte van de voortgang
  • Handelen wij uw melding vertrouwelijk af
  • Zullen wij geen juridische stappen ondernemen tegen melders die zich aan deze richtlijnen houden

Afhandeling en samenwerking

Basalt kan voor analyse en afhandeling gebruikmaken van externe securitypartners, zoals NOMIOS. Meldingen kunnen, indien nodig, met deze partijen worden gedeeld voor verdere technische analyse en oplossing.

Verantwoord omgaan met gegevens

Als u tijdens uw onderzoek per ongeluk toegang krijgt tot gevoelige informatie:

  • Stop direct met het onderzoek
  • Maak geen kopieën van de gegevens
  • Meld dit direct bij ons

Scope

Deze policy is van toepassing op:

  • basaltrevalidatie.nl en subdomeinen
  • publiek toegankelijke webapplicaties en systemen van Basalt

Contact

E-mail: security@basaltrevalidatie.nl
Website: https://www.basaltrevalidatie.nl