iDEAL Coordinated Vulnerability Disclosure

Currence iDEAL hecht veel waarde aan de veiligheid van haar systemen. Ondanks onze zorgvuldigheid bij het beveiligen van onze systemen, kan het gebeuren dat er toch een kwetsbaarheid aanwezig is.

Als u een kwetsbaarheid in een van onze systemen ontdekt, horen we dat graag van u, zodat we zo snel mogelijk passende maatregelen kunnen nemen. We willen graag met u samenwerken om onze klanten en onze systemen beter te beschermen.

We vragen u vriendelijk:

  • Stuur uw bevindingen naar  security@ideal.nl.
  • Versleutel uw bevindingen/rapport met de PGP-publieke sleutel die te vinden is op  https://ideal.nl/.well-known/pgp.asc.
  • Zorg ervoor dat het woord "CVD" in de titel van uw e-mail is opgenomen.
  • Maak geen misbruik van het probleem, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen, of door gegevens van derden te bekijken, te verwijderen of te wijzigen.
  • Deel het probleem niet met anderen totdat het is opgelost, en verwijder alle vertrouwelijke informatie die via de kwetsbaarheid is verkregen onmiddellijk nadat de inbreuk is verholpen.
  • Gebruik geen fysieke aanvallen, social engineering, distributed denial of service (DDoS), spam of toepassingen van derden.
  • Geef voldoende informatie om het probleem te reproduceren, zodat we het snel kunnen oplossen. Meestal volstaat het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar complexere kwetsbaarheden kunnen aanvullende informatie vereisen.
  • Alleen rapporten binnen de hieronder gespecificeerde scope worden in behandeling genomen - blijf binnen de scope!


Scope:

  • www.ideal.nl 
  • api.ideal.nl 
  • profile.ideal.nl 
  • pay.ideal.nl 
  • tx.ideal.nl 
  • cms.ideal.nl 
  • *.currenceplatform.nl (behalve dev*.currenceplatform.nl)


Onze beloften:

  • We reageren binnen 2 weken op uw melding met onze beoordeling en een verwachte datum voor het oplossen van het probleem.
  • Als u zich aan de bovenstaande voorwaarden houdt, zullen wij geen juridische stappen tegen u ondernemen in verband met de melding.
  • We behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit noodzakelijk is om aan een wettelijke verplichting te voldoen. U kunt ook onder een pseudoniem melden.
  • We houden u op de hoogte van de voortgang bij het oplossen van het probleem.
  • In onze communicatie over het gemelde probleem zullen wij, indien u dat wenst, uw naam vermelden als de ontdekker.
  • Als dank voor uw hulp bieden we een (ludieke) beloning aan voor elke relevante melding van een beveiligingsprobleem dat ons nog niet bekend is. De beloning bepalen we op basis van de ernst van het lek en de kwaliteit van de melding.

We streven ernaar om alle problemen zo snel mogelijk op te lossen en willen graag betrokken worden bij een eventuele publicatie over het probleem nadat het is verholpen.