Responsible Disclosure Policy

Introduction

We recognize the value of security researchers in identifying vulnerabilities in our systems. This Responsible Disclosure Policy provides guidelines for researchers to report potential vulnerabilities.

Scope

This policy applies only to vulnerabilities discovered in the domains and systems explicitly owned by IT Friese Meren. Systems not owned by IT Friese Meren are out of scope.

Guidelines for Reporting

• Researchers must not disclose the vulnerability to third parties or the public.
• Send a clear report following the security.txt guidelines.
• Do not attempt or perform any attack that could harm the integrity or availability of data or systems.

What We Promise

• We will review and validate genuine reports.
• We will work to resolve any confirmed vulnerabilities.
• We will not pursue legal actions against researchers who adhere strictly to this policy.

Limitations

• Reports should not contain personal data. Any report containing personal data will be disregarded.
• We do not provide rewards or bounties for reported vulnerabilities.
• We reserve the right to determine the severity and impact of the vulnerability.

Beleid voor Verantwoord Melden

Inleiding

We erkennen de waarde van beveiligingsonderzoekers bij het identificeren van kwetsbaarheden in onze systemen. Dit Beleid voor Verantwoord Melden biedt richtlijnen voor onderzoekers om mogelijke kwetsbaarheden te melden.

Toepassingsgebied

Dit beleid is alleen van toepassing op kwetsbaarheden die zijn ontdekt in de domeinen en systemen die expliciet eigendom zijn van IT Friese Meren. Systemen die niet eigendom zijn van IT Friese Meren vallen buiten dit beleid.

Richtlijnen voor het Melden

• Onderzoekers mogen de kwetsbaarheid niet aan derden of het publiek bekendmaken.
• Stuur een duidelijk rapport conform onze security.txt beschrijving
• Probeer geen aanval uit te voeren die de integriteit of beschikbaarheid van gegevens of systemen kan schaden.

Wat We Beloven

• We zullen echte rapporten bekijken en valideren.
• We zullen werken aan het oplossen van bevestigde kwetsbaarheden.
• We zullen geen juridische stappen ondernemen tegen onderzoekers die zich strikt aan dit beleid houden.

Beperkingen

• Rapporten mogen geen persoonlijke gegevens bevatten. Elk rapport dat persoonlijke gegevens bevat, wordt genegeerd.
• We bieden geen beloningen of bounties voor gemelde kwetsbaarheden.
• We behouden ons het recht voor om de ernst en impact van de kwetsbaarheid te bepalen.