Responsible Disclosure Policy

Bij Byte staat de veiligheid van onze servers en hostingomgeving voorop. Uiteraard doen we ons best om een zo veilig mogelijke dienst te leveren, maar toch kan het gebeuren dat er ergens een zwakke plek in onze systemen zit.
Mocht je zo’n zwakke plek vinden in een van onze systemen, dan horen wij dit graag, zodat we hier iets tegen kunnen doen, om de veiligheid te verhogen. Samen kunnen we er voor zorgen dat alle diensten die we leveren, de informatie in onze systemen en de data van onze klanten, zo veilig mogelijk is.

Inhoudsopgave

• Wat mag wel, en wat niet
• Wat te doen als je een zwakke plek vindt
• Wat je van ons kan verwachten

Wat mag wel, en wat niet.

• We accepteren meldingen voor alle systemen en diensten die wij draaien; alle diensten onder de byte.nl, hypernode.com en magereport.com domeinen. Zwakke plekken op onze clusterhostingomgeving, en op de Hypernode vagrant / docker omgeving, alsook op Hypernode in het algemeen, zijn ook welkom.
• Aanvallen op fysieke beveiliging, social engineering, DDoS, brute-forcing of phishing hebben we liever niet. Mocht je een zwakke plek denken te vinden op dit gebied, neem dan contact op alvorens dit te testen, dan kijken we samen wat mogelijk is.
• Het testen van sites van onze klanten, inclusief sites gehost onder het testbyte.nl of het hypernode.io domein, is expliciet NIET toegestaan.
• Mocht een gemelde zwakke plek niet in ons systeem, maar in een systeem van een derde of een klant van Byte blijken te zitten, dan zullen wij de melding doorsturen naar de desbetreffende partij.
• Maak geen misbruik van gevonden zwakke plekken. Download niet meer data dan nodig is om een probleem aan te tonen.
• Het wijzigen of verwijderen van data niet toegestaan. Hieronder vallen ook je eigen ‘footprints’, logregels, history files, etc.
• Mocht je, nadat de zwakke plek opgelost is, een blogpost of een ander soort publicatie hierover willen maken, dan zijn we hier graag bij betrokken.

Wat te doen als je een zwakke plek vindt.

• Meldingen kun je maken via e-mail naar Dit e-mailadres wordt beveiligd tegen spambots. JavaScript dient ingeschakeld te zijn om het te bekijken.. Je kunt deze encrypten met onze PGP key.
• Vermeld alle informatie die nodig is om het probleem te reproduceren. Denk hierbij aan IP-adressen, URL’s, en argumenten. Screenshots, HAR (HTTP Archive) files en video is ook zeer welkom. Mocht je bij het ontdekken van het lek gegevens of data in hebben gezien, geef dit dan ook gedetailleerd door.
• Na het maken van een melding vragen we je om alle verkregen gegevens/data te wissen.
• We vragen je om meldingen niet te delen en/of te publiceren, totdat we de mogelijkheid hebben gehad om het probleem op te lossen en eventuele getroffen klanten op de hoogte hebben gesteld.

Wat je van ons kan verwachten.

• We reageren binnen 2 werkdagen op je melding met onze analyse en een oplossing(plan).
• We blijven in contact met je gedurende het oplostraject, over de voortgang van het oplossen.
• We gaan vertrouwelijk om met je melding en zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
• We zullen geen juridische stappen ondernemen als je bovenstaande voorwaarden hebt gevolgd.
• We zullen opgeloste problemen vermelden op onze website in een ‘Hall of Fame’.
• We zullen, indien gewenst, je naam/pseudoniem vermelden in al onze publicaties (de Hall of Fame, blogpost, nieuwsbrief, changelog, etc) over dit probleem.