Beleid voor het melden van kwetsbaarheden

Inleiding

Dit beleid voor het melden van kwetsbaarheden is van toepassing op alle beveiligingslekken die u wilt rapporteren aan Puredrive Energy (inclusief producten die wij produceren onder licentie). Wij vragen u dit beleid aandachtig te lezen voordat u een melding doet en steeds binnen de richtlijnen te handelen.

Wij waarderen iedere melding die bijdraagt aan de veiligheid en betrouwbaarheid van onze producten en diensten. We bieden echter geen financiële vergoeding voor gerapporteerde kwetsbaarheden.

Hoe meldt u een kwetsbaarheid?

Wanneer u denkt een beveiligingskwetsbaarheid te hebben gevonden in één van onze diensten, systemen of producten, kunt u uw melding richten aan:

CTO Puredrive Energy Ltd
Unit 18a & 18b, Orchard Industrial Estate
Evesham Road, Toddington
Cheltenham, GL54 5EB
Verenigd Koninkrijk

Uw melding moet minstens de volgende informatie bevatten:
• De website, IP-locatie, applicatie of omgeving waar de kwetsbaarheid werd vastgesteld
• Een korte omschrijving van het type kwetsbaarheid (bijv. “XSS-kwetsbaarheid”)
• Duidelijke stappen om de kwetsbaarheid veilig te reproduceren (altijd een niet-destructieve proof of concept)

Een duidelijke en volledige melding helpt ons om sneller te beoordelen en dubbele of foutieve meldingen te vermijden.

Wat mag u van ons verwachten?

  • Binnen 5 werkdagen ontvangt u een eerste reactie op uw melding.
    • Binnen 10 werkdagen beoordelen we de kwetsbaarheid (triage).
    • We houden u tijdig op de hoogte van de voortgang van het onderzoek.

De prioriteit van een oplossing wordt bepaald op basis van:
• de impact
• de ernst
• de technische complexiteit

Sommige kwetsbaarheden vereisen meer tijd voor een correcte oplossing. Wij vragen om maximaal één statusaanvraag per 14 dagen, zodat ons team efficiënt kan blijven werken.

Wanneer het probleem is opgelost, brengen we u hiervan op de hoogte. We kunnen u vragen om te bevestigen dat de kwetsbaarheid effectief verholpen is.

Publicatie van een melding is mogelijk na wederzijdse afstemming, zodat communicatie duidelijk en uniform blijft.

Wat u NIET mag doen

U mag NIET:
• Wetten of regelgeving overtreden
• Onnodige of buitensporige hoeveelheden data openen, verzamelen of kopiëren
• Gegevens wijzigen in systemen of diensten van de organisatie
• Invasieve of destructieve scans uitvoeren
• Een (D)DoS-aanval uitvoeren
• Systemen of diensten verstoren
• Meldingen indienen over niet-relevante of cosmetische issues (bijv. ontbrekende security headers)
• Meldingen doen over TLS-instellingen zoals “zwakke cipher suites” of aanwezigheid van TLS 1.0
• Kwetsbaarheden of details delen via andere kanalen dan vermeld in dit beleid
• Social engineering, phishing of fysieke tests uitvoeren
• Financiële compensatie eisen voor een melding

Wat u WÉL moet doen

U moet WEL:
• Te allen tijde voldoen aan regels rond privacy en gegevensbescherming
• Geen data van gebruikers, medewerkers, externe technici of systemen bekijken of opslaan, tenzij strikt noodzakelijk voor de melding
• Alle verzamelde gegevens veilig verwijderen zodra ze niet meer nodig zijn, of uiterlijk binnen 14 dagen na het oplossen van de kwetsbaarheid (tenzij wetgeving anders vereist)

Wetgeving en goede praktijken

Dit beleid is opgesteld volgens gangbare internationale richtlijnen voor responsible disclosure. Het geeft u echter geen toestemming om acties uit te voeren die in strijd zijn met de wet of die Puredrive Energy of andere partijen blootstellen aan juridische risico’s.

Mocht u aantoonbaar binnen de richtlijnen van dit beleid hebben gehandeld en derden ondernemen juridische stappen, dan kunnen wij indien passend, verklaren dat uw handelingen binnen dit beleid plaatsvonden.

Wij danken u voor uw inzet om onze producten, systemen en diensten veiliger te maken. Uw bijdrage helpt ons om een betrouwbare en veilige gebruikerservaring te bieden.

Versie V1.1 – Gepubliceerd 2025