Responsible Disclosure

Inleiding 

De beveiliging van de Siip identity infrastructuur, inclusief identity wallets, onboarding flows en credential services heeft voor ons de hoogste prioriteit. Ondanks zorgvuldige ontwikkeling kan het voorkomen dat kwetsbaarheden aanwezig zijn.

Wij waarderen de inzet van security researchers en ethische hackers die ons helpen deze kwetsbaarheden op een verantwoorde manier te identificeren en te melden. 

Toepassingsgebied (Scope) 

Dit beleid is van toepassing op:
– Siip identity wallet infrastructuur
– Onboarding- en authenticatieprocessen
– API’s en backend services
– Credential issuance en verificatie flows

Niet in scope:
– systemen van derden
– fysieke beveiliging
– social engineering
– denial-of-service testen 

Wat wij van je verwachten 

Wij verzoeken je om:
– kwetsbaarheden zo snel mogelijk te melden via responsibledisclosure@siip.group
– voldoende informatie aan te leveren om het probleem te reproduceren
– geen misbruik te maken van kwetsbaarheden
– geen toegang te verkrijgen tot gegevens van derden
– je onderzoek te beperken tot strikt noodzakelijke handelingen
– de kwetsbaarheid niet openbaar te maken voordat deze is opgelost 

Niet toegestane activiteiten 

De volgende activiteiten zijn niet toegestaan:
– verstoring van systemen of dienstverlening (DoS/DDoS)
– genereren van grote hoeveelheden verkeer of requests
– geautomatiseerde scanning zonder toestemming
– brute-force aanvallen
– social engineering of phishing
– exfiltratie van gegevens
– testen buiten de afgesproken scope

Activiteiten die monitoring, logging of operationele processen verstoren. 

Safe Harbor 

Indien je handelt in overeenstemming met dit beleid:
– ondernemen wij geen juridische stappen
– behandelen wij je melding vertrouwelijk
– erkennen wij je bijdrage

Dit geldt uitsluitend indien:
– geen schade wordt veroorzaakt
– activiteiten proportioneel zijn
– je stopt op verzoek 

Beëindiging van activiteiten 

Wij behouden ons het recht voor om je te verzoeken je activiteiten onmiddellijk te staken indien:
– deze verstorend zijn voor systemen of monitoring
– deze buiten de scope vallen
– deze risico vormen voor gebruikers of infrastructuur

Wij verwachten dat je in dat geval per direct stopt met verdere activiteiten. 

Afhandeling van meldingen 

Wij:
– bevestigen ontvangst binnen redelijke termijn
– beoordelen en prioriteren de melding
– lossen kwetsbaarheden zo snel mogelijk op 

Juridisch kader 

Dit beleid is gebaseerd op geldende wet- en regelgeving waaronder:
– AVG (GDPR)
– eIDAS (digitale identiteit)
– nationale strafwetgeving inzake computervredebreuk

Activiteiten buiten dit beleid kunnen leiden tot juridische stappen. 

Contact 

Meldingen ontvangen wij graag via responsibledisclosure@siip.group.