WoSeCo
Coordinated Vulnerability Disclosure

Samen werken aan
een veiliger internet

Bij WoSeCo nemen wij de beveiliging van onze systemen zeer serieus. Heeft u een kwetsbaarheid ontdekt? Meld het verantwoord en help ons onze klanten beter te beschermen.

Melding doenHoe werkt het?
NCSC-richtlijnenISO 29147AVG-compliant

< 3 dagen

Reactietijd

Gegarandeerde bevestiging

100%

Vertrouwelijkheid

Uw data veilig bij ons

Gegarandeerd

Juridische bescherming

Conform NCSC-beleid

Credits

Hall of Fame

Erkenning voor researchers

Security research

Verantwoord onderzoek, veilige melding

Een typisch responsible disclosure traject — van ontdekking tot oplossing.

terminal — security-research
LIVE
Het proces

Van melding tot oplossing

Ons CVD-proces is transparant en volgt de NCSC-richtlijnen voor Coordinated Vulnerability Disclosure.

Stap 01

Ontdekking

U ontdekt een kwetsbaarheid in een van onze systemen of applicaties.

Stap 02

Melding

Stuur een gedetailleerde beschrijving naar [email protected].

Stap 03

Bevestiging

Wij bevestigen de ontvangst binnen 3 werkdagen en geven een inschatting.

Stap 04

Analyse & Fix

Ons security-team analyseert en verhelpt de kwetsbaarheid.

Stap 05

Terugkoppeling

U ontvangt bericht wanneer het probleem is opgelost. Eventueel met credits.

Spelregels

Wat wij u vragen

Om een veilig en effectief disclosure-proces te garanderen, vragen wij onderzoekers het volgende in acht te nemen.

Meld direct

Stuur uw bevindingen zo snel mogelijk per e-mail. Hoe eerder wij het weten, hoe sneller we kunnen handelen.

Houd het vertrouwelijk

Deel het probleem niet met anderen totdat het is opgelost en maak geen gebruik van het lek.

Wees gedetailleerd

Geef voldoende informatie om het probleem te reproduceren: URL, stappen, screenshots, eventueel proof-of-concept.

Minimale impact

Misbruik de kwetsbaarheid niet. Download niet meer data dan nodig en wijzig of verwijder geen gegevens.

Niet toegestaan

Aanvallen op fysieke beveiliging, social engineering, (D)DoS of spam

Backdoors plaatsen in systemen om kwetsbaarheden aan te tonen

Gegevens wijzigen, verwijderen of kopiëren buiten het strikt noodzakelijke

Agressieve geautomatiseerde scanning tools inzetten

Toegang tot accounts of data van andere gebruikers

De kwetsbaarheid delen met derden voordat deze is opgelost

Onze belofte

Wat wij u garanderen

Wij waarderen security researchers en garanderen een eerlijk en transparant proces.

< 3werkdagen

Reactietijd

Wij bevestigen uw melding binnen 3 werkdagen met onze beoordeling.

100%

Vertrouwelijk

Uw melding en persoonsgegevens worden strikt vertrouwelijk behandeld.

0aangifte

Geen vervolging

Wij doen geen aangifte als u zich aan de spelregels houdt.

Scope

Wat valt onder dit beleid?

Ons responsible disclosure beleid geldt voor alle systemen en diensten die door WoSeCo worden beheerd.

In scope

  • woseco.com en alle subdomeinen
  • WoSeCo SaaS-platformapplicatie
  • API-endpoints en webservices
  • Authenticatie- en autorisatiemechanismen
  • Cloudintegraties (Microsoft 365, Google Workspace)

Buiten scope

  • Social engineering aanvallen op medewerkers
  • (Distributed) Denial of Service aanvallen
  • Fysieke aanvallen op kantoren of datacenters
  • Diensten van derden (Google, Microsoft, AWS)
  • Brute force aanvallen op inlogpagina's

Kwetsbaarheid gevonden?

Stuur een gedetailleerde beschrijving naar ons security-team. Wij reageren binnen 3 werkdagen en werken samen aan een oplossing.

[email protected]

Dit beleid is opgesteld conform de richtlijnen van het NCSC en voldoet aan ISO 29147.