Beveiligingsbeleid

Dit beleid geldt voor onze website en de online diensten die wij onder eigen beheer aanbieden. Voor systemen die wij voor klanten beheren gelden mogelijk aanvullende afspraken; neem in dat geval eerst contact met ons op.

Ontdek je een mogelijke kwetsbaarheid, meld die dan zo snel mogelijk via security@bonsaisoftware.nl. Versleutel gevoelige informatie waar mogelijk en deel genoeg details om het probleem te kunnen reproduceren:

• Een beschrijving van de kwetsbaarheid en de mogelijke impact.
• De stappen om het probleem te reproduceren, en betrokken URL's of onderdelen.
• Eventuele logs, schermafbeeldingen of proof of concept.
• Hoe wij je kunnen bereiken voor vervolgvragen.

Om verantwoord onderzoek mogelijk te maken, vragen wij je om het volgende:

• Geef ons een redelijke termijn om het probleem op te lossen voordat je het openbaar maakt.
• Doe geen onderzoek dat de dienstverlening verstoort, gegevens beschadigt of de privacy van anderen schaadt.
• Gebruik geen social engineering, fysieke aanvallen of geautomatiseerde stress- of denial-of-service-tests.
• Benader, wijzig of verwijder geen gegevens die niet van jou zijn; gebruik alleen je eigen testaccounts.

• Wij bevestigen je melding binnen drie werkdagen.
• Wij houden je op de hoogte van de voortgang en de oplossing.
• Wij ondernemen geen juridische stappen tegen onderzoekers die zich te goeder trouw aan dit beleid houden.
• Wij vermelden je graag als ontdekker, als je daar prijs op stelt.

De volgende meldingen nemen wij doorgaans niet in behandeling:

• Ontbrekende best practices zonder aantoonbare impact, zoals enkel een ontbrekende header.
• Rapporten die volledig uit geautomatiseerde scans komen, zonder bevestigde kwetsbaarheid.
• Kwetsbaarheden in software van derden waarover wij geen controle hebben.
• Spam, phishing of social engineering gericht op onze medewerkers.

Wij hanteren onder meer de volgende technische en organisatorische maatregelen:

• Versleuteld verkeer via HTTPS met moderne TLS, en beveiligingsheaders op onze website.
• Toegangsbeheer volgens het beginsel van minimale rechten.
• Gescheiden omgevingen en beheerde toegang tot productiesystemen.
• Regelmatige updates van software en afhankelijkheden.

Beveiligingsmeldingen en vragen over dit beleid kun je sturen naar security@bonsaisoftware.nl. Voor overige vragen gebruik je info@bonsaisoftware.nl. Een machineleesbare versie van onze contactgegevens staat in /.well-known/security.txt.