Platform voor ondernemerschap
Inspiratie Opvolging in familiebedrijf Toekomst en groei Duurzaamheid Sturen op cijfers Digitalisering Bekijk alle
Diensten HRM en salarisadministratie Strategie en organisatie Accountancy Belastingadvies Corporate Finance Bekijk alle
Domeinen Advocatuur Agro Audit en assurance Internationaal Zorg Bekijk alle
Vestigingen Amsterdam Barendrecht Barneveld Doetinchem Dordrecht Bekijk alle

Responsible disclosure

Nederlandse versie English version

Nederlandse versie

Ondanks zorgvuldige beveiligingsmaatregelen kan er toch een kwetsbaarheid aanwezig zijn in één van onze systemen. Als je een zwakke plek ontdekt, stellen wij het zeer op prijs als je dit met ons deelt. Zo kunnen wij snel en zorgvuldig maatregelen treffen.

Kwetsbaarheden kunnen op verschillende manieren aan het licht komen: bijvoorbeeld wanneer je hier per ongeluk tegenaan loopt tijdens normaal gebruik van onze digitale diensten, of wanneer je bewust onderzoek doet naar mogelijke zwakke plekken.

Ons responsible disclosure-beleid is bedoeld om kwetsbaarheden op verantwoorde wijze te kunnen melden. Het is geen uitnodiging om ons netwerk actief en grootschalig te scannen op kwetsbaarheden. Wij monitoren onze systemen continu via een Security Operations Centre (SOC). Actieve scans worden doorgaans gedetecteerd en kunnen leiden tot onnodig onderzoek en kosten.

Richtlijnen bij het melden van een kwetsbaarheid

Wij vragen om je aan de volgende voorwaarden te houden:

  • Meld jouw bevindingen via security@visser-visser.nl;

  • Maak geen gebruik van de kwetsbaarheid, bijvoorbeeld door meer data op te vragen dan nodig is om het probleem aan te tonen, of door gegevens van anderen te bekijken, wijzigen of verwijderen;

  • Deel de kwetsbaarheid niet met derden voordat deze is opgelost;

  • Voer geen aanvallen uit op onze systemen, zoals via fysieke toegang, social engineering, DDoS, spam of gebruik van applicaties van derden;

  • Geef voldoende informatie om het probleem te reproduceren, zoals een URL, IP-adres, omschrijving van de kwetsbaarheid en eventueel een technische toelichting.

Wat je van ons mag verwachten

  • Binnen drie werkdagen ontvang je van ons een reactie met een inschatting van de ernst en een verwachte oplossingsdatum;

  • Indien je je aan de richtlijnen houdt, ondernemen wij geen juridische stappen tegen jou met betrekking tot de melding;

  • Jouw melding wordt vertrouwelijk behandeld en jouw persoonsgegevens worden niet gedeeld zonder je toestemming;

  • Wij houden je op de hoogte van de voortgang in het oplossen van het probleem;

  • Je wordt, indien gewenst, als melder vermeld in een eventuele publieke communicatie;

  • Als blijk van waardering kennen wij een beloning toe voor meldingen van nog onbekende kwetsbaarheden. De hoogte hangt af van de ernst en kwaliteit van de melding, met een minimum van € 50 in cadeaubonnen.

We streven ernaar om alle kwetsbaarheden zo snel mogelijk op te lossen en staan open voor samenwerking rond de uiteindelijke publicatie, zodra het probleem is verholpen.

English version

Despite careful security measures, it is possible that a vulnerability exists in one of our systems. If you discover a weakness, we greatly appreciate you reporting it to us so we can take swift and appropriate action.

Vulnerabilities may come to light in different ways, for example, by accidentally encountering them during normal use of our digital services, or by actively investigating potential weaknesses.

Our responsible disclosure policy is designed to enable responsible reporting of security issues. It is not an invitation to actively or extensively scan our network for vulnerabilities. We continuously monitor our systems through a Security Operations Centre (SOC). Active scans are likely to be detected and may trigger unnecessary investigations and costs.

Guidelines for reporting a vulnerability

We kindly ask you to adhere to the following:

  • Report your findings via security@visser-visser.nl;

  • Do not exploit the vulnerability, e.g., by downloading more data than necessary to demonstrate the issue, or by viewing, changing, or deleting data from others;

  • Do not share the issue with third parties until it has been resolved;

  • Do not carry out attacks such as physical access, social engineering, DDoS, spam, or third-party application abuse;

  • Provide sufficient information to reproduce the problem, such as a URL, IP address, description of the vulnerability, and technical context if applicable.

What you can expect from us

  • You will receive a response within three business days, including an assessment and estimated resolution date;

  • If you follow the guidelines above, we will not take legal action against you for the report;

  • We will treat your report confidentially and will not share your personal data without your consent;

  • We will keep you informed about the progress of resolving the issue;

  • If publicly disclosed, we will credit you as the discoverer (unless you request otherwise);

  • As a token of our appreciation, we may offer a reward for any report of a previously unknown vulnerability. The reward amount depends on the severity and quality of the report, with a minimum value of €50 in gift vouchers.

We aim to resolve all issues as quickly as possible and are open to jointly publishing the issue once it has been resolved.