Responsible Disclosure

Bij NxtPort vinden wij de veiligheid van onze systemen erg belangrijk en hechten belang aan de veiligheid van onze community. Door beveiligingskwetsbaarheden openbaar te delen, kunnen we de veiligheid en privacy van onze gebruikers garanderen.

Richtlijnen

We verwachten dat alle klanten en onderzoekers:

  • alles in het werk stellen om privacyschendingen, verslechtering van de gebruikerservaring, verstoring van het productiesysteem en vernietiging van data tijdens beveiligingstests te vermijden;
  • uitsluitend onderzoek uit te voeren binnen onderstaand toepassingsgebied;
  • de geïdentificeerde communicatiekanalen te gebruiken om informatie over kwetsbaarheden aan ons te melden;
  • informatie over eventuele kwetsbaarheden die je hebt ontdekt vertrouwelijk te houden tussen jezelf en NxtPort tot het probleem is opgelost.

 

Als je deze richtlijnen volgt wanneer je een probleem aan ons rapporteert, verbinden wij ons ertoe:

  • geen juridische stappen te ondernemen of ondersteunen in verband met jouw onderzoek.
  • met jou samen te werken om het probleem snel te begrijpen en op te lossen (met inbegrip van een eerste bevestiging van uw melding binnen de 72 uur na indiening).

Toepassingsgebied

  • het Inbound Release Platform
  • de NxtPort console API-toepassing

Buiten het toepassingsgebied

Alle diensten die gehost worden door externe toeleveranciers vallen buiten het toepassingsgebied. Deze diensten omvatten:

  • C-Point
  • Alfapass
  • Microsoft Azure

 

In het belang van de veiligheid van onze gebruikers, personeel, het internet in het algemeen en jou als beveiligingsonderzoeker vallen volgende testtypes buiten het toepassingsgebied:

  • bevindingen uit fysieke tests, zoals toegang tot kantoren (bijvoorbeeld open deuren, tailgating)
  • bevindingen die voornamelijk afkomstig zijn van social engineering (bijvoorbeeld phishing, vishing)
  • bevindingen van applicaties of systemen die niet vermeld zijn in het toepassingsgebied
  • UI- en UX-fouten en spellingsfouten
  • Denial of Service kwetsbaarheden (DoS/DDoS) op netwerkniveau

 

Dingen die we niet willen ontvangen:

  • Persoonlijk identificeerbare informatie (PII)
  • Gegevens van creditcardhouders

Hoe meld ik een beveiligingskwetsbaarheid?

Als je denkt dat je een beveiligingskwetsbaarheid ontdekt hebt in één van onze producten of platformen, dien uw kwetsbaarheidsrapport dan in via het ondersteuningsportaal. Gelieve de volgende details toe te voegen aan uw melding:

  • een beschrijving van de locatie en de mogelijke impact van de kwetsbaarheid
  • een gedetailleerde beschrijving van de noodzakelijke stappen om de kwetsbaarheid te reproduceren (POC scripts, screenshots en gecomprimeerde schermopnames zijn allemaal nuttig voor ons)
  • jouw naam of kenmerk