Beleid openbaarmaking kwetsbaarheden

1. Inleiding


Bij Sky Dust nemen we de beveiliging van ons platform (skydust.app) en onze website (skydust.io) serieus. We waarderen de bijdragen van beveiligingsonderzoekers en de bredere gemeenschap om kwetsbaarheden te identificeren. Dit beleid beschrijft hoe je kwetsbaarheden kunt melden en wat je van ons kunt verwachten.


2. Reikwijdte


Dit beleid geldt voor het Skydust-platform (skydust.app) en de website (skydust.io). We moedigen het melden van kwetsbaarheden aan die betrekking hebben op:

  • authenticatie- of autorisatiefouten
  • gegevenslekken of -blootstelling
  • cross-site scripting (XSS)
  • SQL-injectie
  • uitvoering van externe code


Buiten reikwijdte:


  • problemen met betrekking tot diensten of software van derden
  • denial of Service (DoS) aanvallen
  • fysieke beveiligingsproblemen
  • social engineering aanvallen
  • laag-Risico Problemen: Niet-uitbuitbare kwetsbaarheden, inclusief problemen met verouderde browsers of kleine beveiligingsfouten, vallen ook buiten de reikwijdte.


3. Het melden van een kwetsbaarheid


Hoe te melden

Stuur een gedetailleerde beschrijving van de kwetsbaarheid naar ons beveiligingsteam via security@skydust.io. Voeg het volgende toe:


  • een duidelijke beschrijving van het probleem
  • stappen om de kwetsbaarheid te reproduceren
  • mogelijke impact van de kwetsbaarheid
  • eventuele ondersteunende screenshots of video's


Wat we verwachten:


Vertrouwelijkheid: maak de kwetsbaarheid niet openbaar totdat we het probleem hebben opgelost.

Naleving: vermijd acties die onze diensten kunnen verstoren, persoonlijke gegevens kunnen openen of onze systemen kunnen beschadigen.

Wettelijke grenzen: zorg ervoor dat je testen binnen de wettelijke grenzen blijft en voldoet aan onze voorwaarden.


4.  Onze verbintenis


Reactietijd: we zullen je melding binnen 5 werkdagen bevestigen.

Oplostijd: we streven ernaar geldige kwetsbaarheden binnen 30 dagen op te lossen. We houden je op de hoogte van de voortgang.

Geen juridische actie: zolang je dit beleid volgt en kwetsbaarheden op verantwoorde wijze meldt, zullen we geen juridische stappen tegen je ondernemen.

Erkenning: we kunnen je bijdrage openbaar erkennen als je dat wilt, zodra de kwetsbaarheid is opgelost.


5. Juridische Bescherming


Goede trouw testen: we erkennen testen die te goeder trouw worden uitgevoerd als een waardevolle bijdrage aan onze beveiliging.

Geen vergoeding: hoewel we je inspanningen zeer waarderen, bieden we momenteel geen geldelijke beloning voor kwetsbaarheidsrapporten.

Gegevensbescherming: alle gegevens die je tijdens je onderzoek tegenkomt, mogen niet aan derden worden verstrekt en moeten na het melden van de kwetsbaarheid veilig worden verwijderd.


6. Contactinformatie


Als je vragen hebt over dit beleid of meer uitleg nodig hebt, neem dan contact met ons op via security@skydust.io.