Overslaan naar inhoud

Responsible Disclosure Policy Sofatech


Sofatech

Bij Sofatech nemen we de veiligheid van onze systemen, klanten en data uiterst ernstig.

Wij waarderen het wanneer security researchers, ethische hackers en bezorgde gebruikers ons helpen door mogelijke kwetsbaarheden op een verantwoorde manier te melden.

Deze Responsible Disclosure Policy beschrijft hoe je kwetsbaarheden veilig kan melden, wat wij van jou verwachten en wat jij van ons mag verwachten.


Ons engagement

Wanneer je een beveiligingslek volgens deze policy meldt, dan beloven wij:

  • Je melding serieus en vertrouwelijk te behandelen
  • Snel te reageren en je op de hoogte te houden van de voortgang
  • Geen juridische stappen te ondernemen zolang je te goeder trouw handelt
  • Erkenning te geven via onze Sofatech Hall of Fame (indien gewenst)

Samen maken we onze digitale omgeving veiliger.


Wat mag je testen?

Het is toegestaan om kwetsbaarheden te onderzoeken en te melden met betrekking tot:

  • De website(s) van Sofatech
  • Publiek toegankelijke webapplicaties
  • Klantportalen of self-service omgevingen van Sofatech
  • API’s, formulieren of integraties die publiek bereikbaar zijn

Twijfel je of iets binnen scope valt? Neem gerust eerst contact op.


Wat is niet toegestaan?

Om misbruik te vermijden, vragen we expliciet niet het volgende te doen:

  • Data van klanten, gebruikers of medewerkers te downloaden, wijzigen of verwijderen
  • Systemen opzettelijk te verstoren (DoS/DDoS, brute force, spam)
  • Social engineering (phishing, telefonische misleiding, fysieke toegang proberen)
  • Kwetsbaarheden publiek te maken vóór wij deze hebben opgelost
  • Kwetsbaarheden te misbruiken voor persoonlijk of commercieel voordeel

Handel altijd zorgvuldig, proportioneel en discreet.


Hoe meld je een kwetsbaarheid?

Stuur je melding zo volledig mogelijk naar:

jarno.sablain@sofatech.be

Vermeld bij voorkeur:

  • Een duidelijke beschrijving van de kwetsbaarheid
  • Stappen om het probleem te reproduceren
  • Eventueel screenshots, logs of proof-of-concept
  • De mogelijke impact
  • Je naam of alias (indien je erkenning wenst)

Je mag ook anoniem melden.


Wat mag je van ons verwachten?

Na je melding:

  1. Ontvangstbevestiging binnen 3 werkdagen
  2. Eerste beoordeling van de impact en ernst
  3. Oplossing of mitigatie zo snel als redelijk mogelijk
  4. Terugkoppeling wanneer het probleem is opgelost

Bij kritieke kwetsbaarheden handelen wij uiteraard met verhoogde prioriteit.


Juridische safe harbor

Wanneer je handelt volgens deze Responsible Disclosure Policy:

  • Zullen wij geen juridische stappen ondernemen
  • Beschouwen wij je onderzoek als toegestaan gebruik
  • Zullen wij geen aangifte doen bij gerechtelijke instanties

Deze bescherming geldt enkel zolang je te goeder trouw handelt en binnen deze richtlijnen blijft.


Sofatech Hall of Fame

Wij vinden het belangrijk om mensen te erkennen die bijdragen aan onze veiligheid.

Security researchers die een geldige kwetsbaarheid melden, kunnen, mits toestemming, opgenomen worden in onze Sofatech Hall of Fame.

Hier vermelden we:

  • Naam of alias
  • Datum van melding
  • (Optioneel) type kwetsbaarheid

Wil je liever geen vermelding? Dat respecteren we volledig.

-> Ontdek de Hall of Fame


Vragen of twijfel?

Heb je vragen over deze policy, of twijfel je of iets verantwoord is om te testen?

Neem gerust contact op via:

 jarno.sablain@sofatech.be

Samen zorgen we voor veilige, betrouwbare en toekomstgerichte IT.

Dankjewel voor je verantwoordelijkheid en betrokkenheid.


Team Sofatech