Overzicht
Bij Edovia is beveiliging een prioriteit en we verwelkomen verantwoorde meldingen van kwetsbaarheden van beveiligingsonderzoekers en het publiek. Als u denkt dat u een beveiligingsprobleem, privacyprobleem of blootgestelde gegevens in onze producten of services hebt gevonden, moedigen we u aan om dit met ons te delen. Dit document beschrijft hoe u beveiligingsproblemen kunt melden, onze toezeggingen en verwachtingen.
Scope
Dit beleid is van toepassing op:
- Edovia-software en -producten
- Edovia-beheerde services en infrastructuur
- Documentatie met betrekking tot onze producten
Uitsluitingen
De volgende typen rapporten vallen buiten de scope van dit beleid:
- Fysieke beveiligingsproblemen (bijv. toegang tot kantoor, ongeautoriseerde toegang)
- Social engineering-aanvallen (bijv. phishing, pogingen tot imitatie)
- Problemen in systemen die niet expliciet worden vermeld in de Scope-sectie
- Cosmetische problemen (bijv. UI/UX-bugs zonder impact op de beveiliging)
- Typografische fouten
- Denial of Service (DoS/DDoS)-kwetsbaarheden
- Services van derden die niet worden beheerd door Edovia
Als u een probleem ontdekt in een systeem dat buiten de scope valt, raden we u aan dit te melden bij de juiste leverancier of organisatie.
Wat u van ons kunt verwachten
Wanneer u te goeder trouw een geldig beveiligingsprobleem meldt, zullen wij:
- Uw melding erkennen en zo snel mogelijk met de beoordeling beginnen
- U op de hoogte houden van de status van uw melding terwijl deze wordt beoordeeld
- Werken aan het oplossen van beveiligingskwetsbaarheden op basis van hun ernst en impact
- Safe Harbor-bescherming bieden wanneer de openbaarmaking de richtlijnen in dit beleid volgt
Richtlijnen voor verantwoordelijke openbaarmaking
Om een verantwoord en effectief openbaarmakingsproces te garanderen, vragen wij u om:
- Dit beleid en alle toepasselijke voorwaarden te volgen bij het onderzoeken van beveiligingsproblemen
- Bevindingen onmiddellijk te melden en acties te vermijden die services of gebruikers kunnen verstoren
- Testen te beperken tot wat nodig is om een probleem aan te tonen
- Officiële kanalen te gebruiken om beveiligingsproblemen te communiceren
- Ons een redelijke hoeveelheid tijd te geven om het probleem aan te pakken voordat u het openbaar maakt
- Alleen systemen binnen het bereik testen en expliciet uitgesloten doelen vermijden
- Testaccounts gebruiken die u bezit of waarvoor u expliciet toestemming hebt om te gebruiken
- Zich te onthouden van acties die kunnen worden geïnterpreteerd als afpersing of eisen om compensatie
Beveiligingsproblemen melden
Om een beveiligingsprobleem te melden, gebruikt u het volgende officiële kanaal:
https://edovia.com/.well-known/security.txt
Hoe meer details u verstrekt, hoe sneller we het probleem kunnen evalueren en aanpakken.
Safe Harbor
Als u te goeder trouw en in overeenstemming met dit beleid beveiligingsonderzoek uitvoert, zullen wij:
- Uw onderzoek beschouwen als geautoriseerd onder de toepasselijke anti-hackingwetten
- Geen juridische stappen ondernemen voor onbedoelde beleidsovertredingen
- Geen anti-omzeilingswetten afdwingen tegen uw tests
- Uw bevindingen behandelen als een poging om de beveiliging te verbeteren, niet als een schending van onze voorwaarden
Als een derde partij juridische stappen tegen u onderneemt voor onderzoek dat in overeenstemming is met dit beleid, zullen wij communiceren dat uw acties de principes van verantwoorde openbaarmaking volgden.
Als u niet zeker weet of uw tests in overeenstemming zijn met dit beleid, neem dan contact met ons op voordat u verdergaat.
Let op: Safe Harbor is alleen van toepassing op juridische claims onder de controle van Edovia en strekt zich niet uit tot onafhankelijke derden.
Bountyprogramma
Houd er rekening mee dat Edovia niet deelneemt aan een bug bounty- of beloningsprogramma. We waarderen verantwoordelijke meldingen van kwetsbaarheden, maar bieden momenteel geen financiële beloningen of andere stimulansen.