Spring naar hoofdinhoud
Schmeits websolutions logo

Responsible Disclosure

Wij nemen beveiliging serieus en waarderen onderzoekers die ons helpen onze systemen veilig te houden.

Introductie

Bij Schmeits websolutions hechten wij grote waarde aan de beveiliging van onze systemen en de gegevens van onze klanten. Ondanks onze zorgvuldigheid kan het voorkomen dat er toch een zwakke plek is. Als je een kwetsbaarheid ontdekt, horen wij dit graag zodat we passende maatregelen kunnen nemen.

Wat valt binnen scope?

Deze policy geldt voor de volgende domeinen en systemen:

  • schmeits.com - onze hoofdwebsite
  • Applicaties en systemen die wij voor klanten beheren (neem eerst contact op voor toestemming)

Spelregels

Om zowel jou als ons te beschermen, vragen wij je het volgende in acht te nemen:

Wat we van jou verwachten

  • Meld de kwetsbaarheid zo snel mogelijk na ontdekking via tally@schmeits.com
  • Geef voldoende informatie om het probleem te reproduceren (IP-adres, URL, screenshots, stappen)
  • Maak geen misbruik van de kwetsbaarheid door meer data te downloaden dan nodig is om het lek aan te tonen
  • Verwijder direct alle verkregen gegevens na het melden
  • Deel de kwetsbaarheid niet met derden totdat deze is opgelost
  • Gebruik geen aanvallen die de beschikbaarheid van onze diensten kunnen schaden (DDoS, spam, etc.)
  • Gebruik geen social engineering, phishing of fysieke aanvallen
  • Plaats geen backdoors of malware

Wat je van ons kunt verwachten

  • Wij reageren binnen 3 werkdagen op je melding met een eerste beoordeling
  • Wij houden je op de hoogte van de voortgang van het oplossen
  • Wij lossen kritieke kwetsbaarheden zo snel mogelijk op, in principe binnen 30 dagen
  • Wij ondernemen geen juridische stappen tegen je als je te goeder trouw handelt en deze richtlijnen volgt
  • Wij behandelen je melding vertrouwelijk en delen je gegevens niet zonder toestemming
  • Als je dat wenst, vermelden wij je naam (of alias) als dank voor je bijdrage

Wat melden?

Voorbeelden van kwetsbaarheden die wij graag willen ontvangen:

  • Cross-Site Scripting (XSS)
  • SQL Injection
  • Remote Code Execution
  • Authentication bypasses
  • Insecure Direct Object References (IDOR)
  • Gevoelige data-exposures
  • Verkeerd geconfigureerde beveiliging

Buiten scope

De volgende zaken vallen buiten deze policy:

  • Ontbrekende security headers die geen direct risico vormen
  • Clickjacking op pagina's zonder gevoelige acties
  • Self-XSS (alleen door de gebruiker zelf te triggeren)
  • Ontbrekende rate limiting (tenzij dit leidt tot een concreet risico)
  • Vulnerabilities in third-party software die wij niet beheren
  • Bevindingen uit geautomatiseerde scans zonder bewijs van exploiteerbaarheid

Hoe melden?

Stuur je melding naar tally@schmeits.com met de volgende informatie:

  • Een duidelijke beschrijving van de kwetsbaarheid
  • Stappen om het probleem te reproduceren
  • De mogelijke impact
  • Eventuele suggesties voor een oplossing
  • Je contactgegevens (optioneel als je anoniem wilt blijven)

Beloning

Wij bieden geen financiele beloningen (bug bounty) voor meldingen. Wel bieden wij:

  • Onze oprechte dank en waardering
  • Vermelding op deze pagina (indien gewenst)
  • Een referentie voor je portfolio

Contact

Heb je vragen over dit beleid of wil je een kwetsbaarheid melden?

Mail tally@schmeits.com