Elk product gecontroleerd Beoordeeld met een 9+ Achteraf of gespreid betalen

SKIKK Responsible Disclosure Program

Overzicht

Bij SKIKK staan de beveiliging van onze systemen en de bescherming van de gegevens van onze klanten voorop.
Ondanks onze inspanningen kunnen er nog steeds kwetsbaarheden bestaan. Daarom verwelkomen wij verantwoord beveiligingsonderzoek en bieden wij dit Responsible Disclosure Program aan, zodat onderzoekers beveiligingsproblemen op een veilige en ethische manier kunnen melden.

Dit programma is uitsluitend bedoeld voor beveiligingsonderzoek te goeder trouw. Het is geen bug bounty programma en biedt geen geldelijke beloningen.

Scope

Domeinen binnen scope

  • www.skikk.eu

Alleen systemen die eigendom zijn van en beheerd worden door SKIKK vallen binnen de scope. Diensten van derden, integraties en externe providers vallen buiten de scope, tenzij uitdrukkelijk anders vermeld.

 

Kwetsbaarheidscategorieën binnen scope

Wij zijn met name geïnteresseerd in kwetsbaarheden die invloed kunnen hebben op de vertrouwelijkheid, integriteit of beschikbaarheid van onze systemen of klantgegevens, waaronder maar niet beperkt tot:

  • Sensitive Data Exposure

  • Problemen met authenticatie & sessiebeheer

  • Insecure Direct Object References (IDOR)

  • Injection-kwetsbaarheden (SQL, command, enz.)

  • Cross-Site Scripting (XSS) – stored of reflected

  • Remote Code Execution (RCE)

  • Security misconfiguration

  • Broken access control

  • Directory / path traversal

  • Blootstelling van inloggegevens of secrets

 

Bevindingen buiten scope

De volgende zaken vallen buiten de scope en kunnen zonder verdere beoordeling worden gesloten:

  • Social engineering, phishing, vishing of impersonatie

  • Denial-of-Service (DoS / DDoS) testen

  • Brute-force aanvallen of account enumeration

  • Output van geautomatiseerde scanners zonder handmatige validatie

  • Suggesties voor een zwak wachtwoordbeleid

  • Ontbrekende HTTP-headers zonder aangetoond risico

  • Cookie flags op niet-gevoelige cookies

  • Clickjacking of CSRF op niet-gevoelige pagina's

  • E-mail SPF / DKIM / DMARC configuratieproblemen

  • Open redirects zonder beveiligingsimpact

  • Zelf-exploitatie of uitsluitend theoretische problemen

  • Problemen die onrealistische gebruikersinteractie vereisen

  • Kwetsbaarheden die al bekend zijn bij SKIKK

  • Meldingen op basis van gelekte, gestolen of gecompromitteerde inloggegevens

 

Regels voor onderzoek

Bij het testen moet je:

  1. Alleen testen op accounts die je zelf bezit en beheert

  2. Handelingen vermijden die de beschikbaarheid van de dienst aantasten

  3. Geen gegevens van andere gebruikers benaderen, wijzigen of verwijderen

  4. Geen malware of kwaadaardige payloads uploaden

  5. Kwetsbaarheden niet verder misbruiken dan een proof of concept

  6. Geen fysieke beveiligingstesten uitvoeren

  7. Kwetsbaarheden niet openbaar maken vóór oplossing

  8. Alle tijdens het testen verkregen gevoelige gegevens verwijderen

Het niet naleven van deze regels kan leiden tot uitsluiting van het programma.

 

Een kwetsbaarheid melden

Meldingen kunnen per e-mail worden ingediend bij:

security@skikk.eu

Je melding dient het volgende te bevatten:

  • Een duidelijke omschrijving van het probleem

  • Betrokken URL(s) of endpoint(s)

  • Stappen om te reproduceren

  • Proof of concept waar van toepassing

  • Inschatting van de impact

Onvolledige of onduidelijke meldingen kunnen worden afgewezen.

 

Onze toezegging

Als je dit beleid volgt, verplichten wij ons om:

  • De ontvangst van je melding te bevestigen

  • Gemelde problemen te beoordelen en te valideren

  • Je waar passend op de hoogte te houden van de voortgang

  • Geen juridische stappen te ondernemen tegen onderzoek te goeder trouw

  • Je melding vertrouwelijk te behandelen

De oplossingstermijnen kunnen variëren afhankelijk van de ernst en complexiteit.

 

Geen beloningen

SKIKK biedt geen geldelijke beloningen, bounties of uitbetalingen voor gemelde kwetsbaarheden. Dit is een responsible disclosure programma gebaseerd op samenwerking te goeder trouw, geen betaald bug bounty programma.

Wij waarderen de tijd en inzet van beveiligingsonderzoekers ten zeerste, en erkennen graag geldige bijdragen waar dit passend is, maar deelname is vrijwillig en geeft geen recht op enige vergoeding.

 

Juridische voorwaarden

Door een melding in te dienen, bevestig je dat:

  • Jij de oorspronkelijke auteur bent van de melding

  • Je SKIKK het recht verleent om de melding te gebruiken en op te volgen

  • Je de kwetsbaarheid niet openbaar zult maken zonder schriftelijke toestemming

  • Je de naam of het merk van SKIKK niet gebruikt voor promotie

 

Tot slot

Dit programma kan op elk moment zonder voorafgaande kennisgeving worden gewijzigd of stopgezet. Deelname is vrijwillig en geeft geen recht op enige beloning of vergoeding.

Bedankt dat je helpt om SKIKK en onze klanten veilig te houden.

Gratis verzending binnen de EU*
14 dagen gratis retourneren
2 jaar garantie
Geassembleerd in Nederland