Responsible Disclosure

- or how we intend to handle reports of vulnerabilities.

De beveiliging van de Schluss-systemen heeft voor ons de hoogste prioriteit. Daarom nodigen we iedereen uit om mee te kijken of we dat hebben bereikt.
Wanneer je een probleem in één van onze systemen ontdekt, vernemen wij dit graag zo snel mogelijk van je. Wij kunnen dan meteen gepaste maatregelen nemen. Schluss zal je melding conform onderstaande afspraken afhandelen. Door het doen van de melding ga je akkoord met deze afspraken.

Wij nodigen je bij deze uit voor onze open source community om Schluss verder te ontwikkelen.

Wij vragen je:

  1. Mail je bevindingen naar info@schluss.org. Versleutel het bericht indien mogelijk en verstuur het over een beveiligde verbinding om te voorkomen dat de informatie in verkeerde handen valt.
  2. Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van het probleem voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  3. Contactgegevens (e-mail adres of telefoonnummer) achter te laten zodat we met je contact kunnen opnemen om samen te werken aan de oplossing.
  4. De melding zo snel mogelijk in te dienen na het ontdekken van het probleem.

En daarna zullen wij:

  1. Jouw melding vertrouwelijk behandelen en jouw persoonlijke gegevens zonder jouw toestemming niet delen met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht worden.
  2. In principe blijf je anoniem. Maar als je dat wenst, kunnen we je naam vermelden als de ontdekker van het gemelde probleem. Dat doen we na onderling overleg.
  3. Wij reageren binnen 3 werkdagen op een melding met een eerste beoordeling en eventueel een verwachte datum voor een oplossing.
  4. Wij lossen het door jou gemelde probleem zo snel mogelijk op. We proberen je zo goed mogelijk op de hoogte te houden van de voortgang en proberen nooit langer dan 90 dagen te doen over het oplossen van het probleem.
  5. In onderling overleg bepalen we of en op welke wijze we over het probleem publiceren nadat het is opgelost.
  6. Jouw beloning. We werken als een community waarin jij bijdraagt om Schluss verder te verbeteren. Hiermee draag je bij aan een beter internet.

Proberen het systeem te kraken wordt gewaardeerd, zolang je ook de fix met ons
deelt. Bovendien: don’t be evil