Ingangsdatum: 28 maart 2025
Contact: [email protected]

Het beleid van Skuridat inzake verantwoordelijke openbaarmaking is van toepassing op de volgende systemen en diensten:

• skuridat.com en zijn subdomeinen
• Skuridats platform voor bedreigingsbeheer en ondersteunende infrastructuur
• Alle openbaar toegankelijke IP’s of eindpunten die rechtstreeks door Skuridat worden beheerd

Dit beleid is niet van toepassing op platforms van derden, infrastructuur die geen eigendom is van of wordt beheerd door Skuridat, of systemen van klanten die onze diensten gebruiken, tenzij uitdrukkelijk overeengekomen.

Kwetsbaarheden in de fysieke beveiliging, social engineering of DoS-testen (denial-of-service) vallen niet binnen het bereik.

Skuridat waardeert de rol van onafhankelijke beveiligingsonderzoekers en ethische hackers bij het verbeteren van cyberbeveiliging. Wij zullen geen juridische stappen ondernemen tegen personen die:

• Te goeder trouw handelen en dit beleid naleven
• Beperk het testen tot systemen binnen het gedefinieerde bereik
• Gebruik, wijzig of verwijder geen gegevens tijdens het testen
• Voorkom onderbreking van de service, inbreuk op privacy of extractie van gegevens
• Voldoen aan toepasselijke wetgeving, met inbegrip van, maar niet beperkt tot, de EU-richtlijn inzake aanvallen op informatiesystemen en het Nederlandse Wetboek van Strafrecht, artikel 138ab (Computervredebreuk)

We behouden ons het recht voor om opheldering te vragen en kunnen regelgevende instanties (bijv. NCSC-NL, ENISA) om hulp vragen.

Stuur een e-mail om een kwetsbaarheid te melden:

• [email protected]

Het eerste contact moet bestaan uit:

• Een duidelijke en beknopte beschrijving van de kwetsbaarheid
• Betrokken IP-adressen, domeinnamen of eindpunten
• Een proof-of-concept of reproductiestappen (indien van toepassing)
• Uw contactgegevens of voorkeur voor anonimiteit

We kunnen een beveiligd communicatiekanaal (bijv. PGP) opzetten voor gevoelige uitwisselingen.

• PGP: […]

Zodra een rapport is ontvangen:

• We bevestigen de ontvangst binnen 5 werkdagen
• We streven ernaar om binnen 15 werkdagen een statusupdate te geven
• Indien gevalideerd, werken we aan een oplossing binnen 90 dagen, of zoals wederzijds overeengekomen.
• Onderzoekers kunnen publieke erkenning krijgen na herstel, tenzij anonimiteit is aangevraagd

In het geval van een meningsverschil over de ernst of de afhandeling, kan Skuridat een neutrale partij zoals NCSC-NL inschakelen voor onafhankelijk advies.

Rapporten die ons helpen effectiever te triagen zijn onder andere:

• Technische duidelijkheid en reproduceerbaarheid
• Gevalideerde proof-of-concept code
• Niet vertrouwen op generieke geautomatiseerde output zonder context

Inzendingen die alleen gebaseerd zijn op verouderde headers, ontbrekende SPF-records of algemene misconfiguraties op het gebied van beveiliging, kunnen een lagere prioriteit krijgen.

Skuridats Responsible Disclosure Program is ontworpen om de samenwerking tussen de cyberbeveiligingsgemeenschap en onze interne teams te verbeteren. Wij verwelkomen verantwoorde meldingen en streven naar een eerlijk, veilig en rechtszeker proces voor alle betrokken partijen.

Dit document kan periodiek worden bijgewerkt om wijzigingen in toepassingsgebied of wetgeving weer te geven.