Beleid Responsible Disclosure

Hostbit hecht veel waarde aan de beveiliging van haar diensten en de persoonsgegevens van haar klanten.

Dit beleid biedt een veilige en duidelijke procedure voor onderzoekers en klanten om kwetsbaarheden of beveiligingsproblemen in Hostbit-systemen, applicaties of diensten te melden.

1. Toepassingsgebied

Dit beleid geldt voor:

  • Websites, dashboards, API’s en infrastructuur beheerd door Hostbit
  • Hostingdiensten geleverd aan klanten
  • Alle andere online diensten of systemen die door Hostbit worden beheerd

Uitsluitingen: Dit beleid geldt niet voor aanvallen of testen die schade kunnen veroorzaken aan diensten of data van derden buiten de systemen van Hostbit.

2. Richtlijnen voor veilig melden

Om veilig te melden, wordt verzocht:

  1. De kwetsbaarheid direct bij Hostbit te melden via security@hostbit.nl.
  2. Een gedetailleerde beschrijving, reproduceerbare stappen en eventueel ondersteunend bewijsmateriaal mee te sturen.
  3. De kwetsbaarheid niet openbaar te maken voordat Hostbit de kans heeft gehad deze te onderzoeken en te verhelpen.
  4. Geen toegang of wijzigingen aan te brengen in klantgegevens waarvoor je geen toestemming hebt.
  5. Handelingen die de Hostbit-diensten of andere gebruikers kunnen verstoren te vermijden.

3. Juridische bescherming (Safe Harbor)

Indien dit beleid wordt nageleefd:

  • Hostbit zal geen juridische stappen ondernemen tegen de melder voor goedbedoeld testen of melden.
  • De melder is niet aansprakelijk voor schade veroorzaakt bij het verantwoord melden van kwetsbaarheden conform dit beleid.

Hostbit behoudt zich het recht voor meldingen te weigeren of te beperken als de richtlijnen of de wet worden overtreden.

4. Verplichtingen Hostbit

Hostbit zal:

  1. Bevestigen dat de melding is ontvangen binnen 3 werkdagen.
  2. De kwetsbaarheid onderzoeken en oplossen binnen een redelijke termijn.
  3. De melder informeren over de voortgang, indien contactgegevens zijn verstrekt.
  4. Optioneel erkenning geven voor geldige meldingen, bijvoorbeeld op een hall of fame, tenzij de melder anoniem wil blijven.

5. Geen financiële verplichting

Hostbit is niet verplicht om een financiële beloning te verstrekken voor gemelde kwetsbaarheden. Wel behoudt Hostbit zich het recht voor om, afhankelijk van de aard en ernst van de melding, in overleg met de melder een passende beloning of erkenning toe te kennen.