Beleid inzake openbaarmaking van kwetsbaarheden

Invoering

Dit beleid voor het bekendmaken van kwetsbaarheden is van toepassing op alle kwetsbaarheden die u overweegt aan ons (het "Bedrijf") te melden. Wij raden u aan dit beleid voor het bekendmaken van kwetsbaarheden volledig te lezen voordat u een kwetsbaarheid meldt en altijd in overeenstemming hiermee te handelen.

Wij waarderen degenen die de tijd en moeite nemen om beveiligingskwetsbaarheden te melden volgens dit beleid. Wij bieden echter geen financiële beloningen voor het bekendmaken van kwetsbaarheden.

Rapporteren

Als u denkt dat u een beveiligingslek hebt gevonden in een product of dienst van Puredrive Energy (waaronder onze merkproducten die onder licentie worden geproduceerd), kunt u hier uw rapport bij ons indienen.

CTO – Puredrive Energy Ltd, Unit 18a & 18b, Orchard Industrial Estate, Evesham Road, Toddington, Cheltenham, GL54 5EB

Vermeld in uw rapport de volgende gegevens:

  • De website, IP, pagina of applicatie waar de kwetsbaarheid kan worden waargenomen
  • Een korte beschrijving van het type kwetsbaarheid, bijvoorbeeld: “XSS-kwetsbaarheid”.
  • Stappen om te reproduceren. Dit moet een goedaardig, niet-destructief, proof of concept zijn. Dit helpt om ervoor te zorgen dat het rapport snel en nauwkeurig kan worden getrieerd. Het vermindert ook de kans op dubbele rapporten of kwaadaardige exploitatie van sommige kwetsbaarheden, zoals overnames van subdomeinen.

Wat u van ons kunt verwachten

  • Nadat u uw rapport hebt ingediend, reageren we binnen 5 werkdagen op uw rapport en streven ernaar om uw rapport binnen 10 werkdagen te beoordelen. We streven er ook naar om u op de hoogte te houden van onze voortgang.
  • Prioriteit voor herstel wordt beoordeeld door te kijken naar de impact, ernst en complexiteit van de exploit. Het kan enige tijd duren om kwetsbaarheidsrapporten te sorteren of aan te pakken. U mag gerust naar de status informeren, maar doe dit niet vaker dan eens per 14 dagen. Zo kan ons team zich richten op het herstel.
  • Wij stellen u op de hoogte zodra de gemelde kwetsbaarheid is verholpen. Mogelijk wordt u gevraagd te bevestigen dat de oplossing de kwetsbaarheid adequaat dekt.
  • Zodra de gerapporteerde kwetsbaarheid is opgelost, verwelkomen we verzoeken om uw rapport openbaar te maken. We zullen de richtlijnen voor getroffen gebruikers uniform maken, dus blijf de openbare release met ons coördineren.

Het is NIET toegestaan ​​om:

  • Geen enkele toepasselijke wet of regelgeving overtreden
  • Toegang tot onnodige, buitensporige of aanzienlijke hoeveelheden gegevens
  • Gegevens in de systemen of diensten van de organisatie wijzigen
  • Gebruik invasieve of destructieve scantools met hoge intensiteit om kwetsbaarheden te vinden
  • Probeer of meld geen enkele vorm van denial-of-service, bijvoorbeeld door een service te overbelasten met een groot aantal verzoeken.
  • De diensten of systemen van de organisatie verstoren
  • Dien rapporten in met gedetailleerde informatie over niet-exploiteerbare kwetsbaarheden, of rapporten die aangeven dat de services niet volledig in overeenstemming zijn met de 'best practice', bijvoorbeeld ontbrekende beveiligingsheaders
  • Rapporten indienen waarin de zwakke punten in de TLS-configuratie worden beschreven, bijvoorbeeld de ondersteuning van een ‘zwakke’ cipher suite of de aanwezigheid van TLS1.0-ondersteuning
  • Communiceer eventuele kwetsbaarheden of bijbehorende details op een andere manier dan beschreven in dit beleid en, indien van toepassing, in de gepubliceerde security.txt.
  • Social engineeren, ‘phishen’ of fysiek aanvallen op het personeel of de infrastructuur van de organisatie
  • Vraag om financiële compensatie om eventuele kwetsbaarheden openbaar te maken

Je moet:

  • Houd u altijd aan de regels voor gegevensbescherming en schend de privacy van de gebruikers, het personeel, de contractanten, de diensten of de systemen van de Organisatie niet. U mag bijvoorbeeld geen gegevens die uit de systemen of diensten zijn opgehaald, delen, herdistribueren of niet goed beveiligen.
  • Verwijder op een veilige manier alle gegevens die u tijdens uw onderzoek hebt verzameld, zodra deze niet langer nodig zijn of binnen 14 dagen nadat het beveiligingslek is opgelost, afhankelijk van wat zich het eerst voordoet (of zoals anderszins vereist door de wetgeving inzake gegevensbescherming).

Wetgeving en goede praktijken

  • Dit beleid is ontworpen om compatibel te zijn met de gangbare goede praktijken voor het bekendmaken van kwetsbaarheden. Het geeft u geen toestemming om op een manier te handelen die in strijd is met de wet of die ertoe kan leiden dat het bedrijf of de geassocieerde organisaties wettelijke verplichtingen overtreden.
  • Als er echter door een derde partij juridische stappen tegen u worden ondernomen en u zich aan dit beleid hebt gehouden, kunnen wij stappen ondernemen om kenbaar te maken dat uw acties in overeenstemming met dit beleid zijn uitgevoerd.

Wij stellen uw hulp bij het veilig houden van onze producten en diensten op prijs.

V1.1 Gepubliceerd 2025