Beleid voor verantwoorde openbaarmaking van kwetsbaarheden (VDP)
Bijgewerkt: 19 december 2025 om 10:23
We waarderen securityonderzoek en accepteren meldingen te goeder trouw. Externe pentests accepteren we momenteel niet.
Scope
skyalo.comen*.skyalo.comSkyalo mobiele apps (actuele openbare versies)
Buiten scope: diensten van derden, DoS/flooding, brute force, social engineering, fysieke aanvallen, spam/DMARC-meldingen, versie-informatie zonder impact, clickjacking zonder aantoonbare impact, ontbrekende headers zonder exploit.
Regels
Handel te goeder trouw en vermijd schending van privacy of verstoring van de dienstverlening.
Gebruik alleen je eigen accounts/gegevens.
Verkrijg of wijzig geen gegevens die niet van jou zijn. Als je per ongeluk toegang krijgt, stop dan onmiddellijk en meld het ons.
Gebruik geen geautomatiseerde scans die de beschikbaarheid of stabiliteit beïnvloeden.
Hoe je een rapport indient
Schrijf naar [email protected] en voeg toe:
Getroffen host/endpoint en omgeving
Duidelijke stappen om het probleem te reproduceren
Minimale PoC (HTTP-verzoek/-respons, screenshots)
Impact- en ernstinschatting (bij voorkeur CVSS v3.1)
Testvenster en bron-IP's
Stuur geen geheimen via e-mail (inloggegevens, tokens, database dumps) — maskeer gevoelige informatie.
Safe Harbor
Als je je aan dit beleid houdt, nemen wij geen juridische stappen en beschouwen we je handelen als geautoriseerd voor rapportagedoeleinden.
Beloningen en erkenning
Er zijn momenteel geen geldelijke beloningen beschikbaar. Voor bevestigde, niet-gedupliceerde meldingen — publieke dankbetuiging (Hall of Fame) en, op verzoek, een bedankbrief. Duplicaten kunnen worden gesloten zonder extra erkenning; de eerste geldige melding krijgt de vermelding.
Termijnen en SLA
Bevestiging van ontvangst: binnen 3 werkdagen
Status na triage: na beoordeling
Gecoördineerde openbaarmaking: we vragen je om details niet te publiceren tot de fix uit is (tot 90 dagen)
Doelen voor herstel: Critical — 7 dagen; High — 30 dagen; Medium — 90 dagen; Low — volgens planning.