Responsible Disclosure Beleid

Bij vidaXL heeft de veiligheid van onze systemen de hoogste prioriteit. Maar ondanks alle moeite en voorzorgsmaatregelen die wij in de beveiliging van onze systemen steken kunnen er nog steeds kwetsbaarheden zijn. Als je een kwetsbaar punt ontdekt willen wij dit graag weten, zodat we zo snel mogelijk de nodige stappen kunnen zetten om het probleem op te lossen. Wij vragen je ons te helpen onze klanten en systemen beter te beschermen.

 

We vragen je het volgende te doen: 

Stuur een e-mail met je bevindingen naar cert@vidaxl.com.

Maak geen misbruik van het kwetsbare punt of probleem dat je hebt ontdekt, door bijvoorbeeld meer data te downloaden dan nodig is om de zwakke plek aan te wijzen of gegevens van anderen te verwijderen of aan te passen.

Vertel anderen niet over het probleem voordat het is opgelost.

Gebruik geen aanvallen op fysieke beveiliging, social engineering, spam of applicaties van derden.

Zorg voor voldoende informatie zodat wij het probleem kunnen reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen.

Gewoonlijk is het IP-adres of de URL van het aangetaste systeem en een omschrijving van de kwetsbare plek voldoende, maar bij complexe kwetsbaarheden kan er meer informatie nodig zijn.

 

Wij beloven het volgende:

Nadat we je melding hebben geëvalueerd zullen we erop reageren. Afhankelijk van het gemelde probleem kan een tijdje duren.

Als je de bovenstaande instructies hebt gevolgd zullen we geen juridische stappen tegen je ondernemen met betrekking tot je melding.

We zullen de melding vertrouwelijk behandelen en je persoonsgegevens niet delen met derden zonder je toestemming, met uitzondering van een externe beveiligingsexpert die we om advies zouden kunnen vragen.

We houden je op de hoogte van onze voorgang omtrent de oplossing van het probleem.

 

In de openbare informatie over het gemelde probleem zullen we je naam noemen als de ontdekker van het probleem (tenzij je dit niet wil), en als teken van onze dankbaarheid bieden wij een beloning voor iedere melding van een veiligheidsprobleem dat nog niet bekend was bij ons. In de meeste gevallen is deze beloning een tegoedbon voor onze webshop. Het bedrag van de beloning wordt bepaald op basis van de ernst van het beveiligingslek en de kwaliteit van de melding. Let op: wij betalen geen beloningen uit in geld.

We streven ernaar alle problemen zo snel mogelijk op te lossen, en zouden graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.