Responsible disclosure

2. Reikwijdte

Dit beleid heeft betrekking op:

• de Soveryne-website (soveryne.com);
• de Soveryne-applicatie en de bijbehorende API's.

3. Hoe te melden

Stuur uw melding naar security@soveryne.com. Versleutel gevoelige details met onze PGP-sleutel (PGP-sleutel wordt nog gepubliceerd).

Geef voldoende detail om het probleem te reproduceren:

• de betrokken URL, endpoint of component;
• duidelijke stappen om te reproduceren, en zo mogelijk een proof of concept;
• de impact die u inschat.

4. Wat wij van u vragen

• Handel te goeder trouw en voorkom privacyschendingen.
• Raadpleeg, wijzig of verwijder geen gegevens die niet van u zijn; gebruik alleen testaccounts en uw eigen gegevens.
• Verstoor onze diensten niet. Geen denial-of-service, volumetrische, load- of stresstests.
• Geen social engineering, phishing of fysieke aanvallen op onze mensen of locaties.
• Geef ons een redelijke termijn om het probleem op te lossen voordat u iets openbaar maakt, en stem de timing met ons af.

5. Wat u van ons kunt verwachten

• Wij bevestigen uw melding binnen 5 werkdagen.
• Wij geven een indicatie van de verwachte termijn en houden u op de hoogte.
• Safe harbor: onderzoek te goeder trouw onder dit beleid beschouwen wij als geautoriseerd; daarvoor ondernemen wij geen juridische stappen.

6. Buiten de reikwijdte

Het volgende valt doorgaans buiten de reikwijdte en kunnen wij zonder verdere actie sluiten:

• denial-of-service, volumetrische, load- of stresstests;
• spam, of social engineering van onze medewerkers of gebruikers;
• output van geautomatiseerde scanners zonder aangetoonde, misbruikbare impact;
• kwetsbaarheden in diensten van derden die wij niet beheren;
• fysieke aanvallen.

7. Erkenning

Wij hebben momenteel geen betaald bug-bountyprogramma. Met uw toestemming erkennen wij graag uw bijdrage.

8. Contact

security@soveryne.com. Soveryne B.V., KvK 42030650, Lange Groenendaal 110A, 2801 LV Gouda.