Responsible Disclosure

 

 

 

1. Doel

Dit beleid definieert de aanpak van Ockto voor het ontvangen, beheren en beantwoorden van meldingen van beveiligingskwetsbaarheden in onze applicaties. Het doel is om klantgegevens te beschermen en vertrouwen te behouden door verantwoorde meldingen te stimuleren en te zorgen voor tijdige oplossingen van potentiële beveiligingsproblemen.

 

2. Reikwijdte

Dit beleid is alleen van toepassing op kwetsbaarheden die zijn geïdentificeerd in de applicaties en bijbehorende API's van Ockto. Het heeft geen betrekking op kwetsbaarheden in de openbare website (ockto.eu) of systemen van derden buiten de operationele controle van Ockto.

 

3. Principes voor Responsible Disclosure

Testen te goeder trouw

  • We verwelkomen meldingen van beveiligingsonderzoekers die te goeder trouw handelen en de regels in dit beleid volgen.
  • Testen mag onze diensten niet verstoren of de beschikbaarheid van Ockto-applicaties voor andere gebruikers beïnvloeden.
  • Vermijd het openen, wijzigen of verwijderen van gegevens die niet van u zijn.

 

Melden van kwetsbaarheden

  • Stuur een gedetailleerde rapportage naar: support@ockto.nl.
  • Voeg voldoende informatie toe zodat we het probleem kunnen reproduceren en valideren (bijv. getroffen applicatiecomponent, stappen om het te reproduceren, proof-of-concept).
  • Voeg indien van toepassing screenshots of codefragmenten toe die de kwetsbaarheid duidelijk aantonen.

 

Verboden activiteiten

  • Maak geen misbruik van kwetsbaarheden die verder gaan dan nodig is om hun bestaan aan te tonen.
  • Maak de kwetsbaarheid niet openbaar voordat Ockto een oplossing heeft bevestigd of expliciete toestemming heeft gegeven.
  • Probeer geen social engineering, phishing of fysieke aanvallen uit te voeren op Ockto-medewerkers of -infrastructuur.

 

4. Toezeggingen van Ockto

  • We bevestigen de ontvangst van uw melding binnen 7 kalenderdagen.
  • We onderzoeken het probleem en, indien gevalideerd, bepalen we de prioriteit van de oplossing op basis van de ernst en impact.
  • We houden u op de hoogte van de status van uw melding, met name wanneer er een oplossing is geïmplementeerd.
  • Hoewel Ockto geen financiële beloningen of een formele bug bounty aanbiedt, zullen we uw bijdrage privé erkennen en mogelijk publiekelijk bedanken als beide partijen hiermee instemmen.

 

5. Juridische Consequenties

Als u zich aan de principes in dit beleid houdt, zal Ockto geen juridische stappen tegen u ondernemen voor activiteiten die te goeder trouw zijn uitgevoerd om een beveiligingslek te identificeren en te melden.