Responsible Disclosure Beleid

Bij TenderB nemen we de beveiliging van onze systemen zeer serieus en we waarderen de bijdrage van security onderzoekers om onze platformen nog veiliger te maken. Als u een beveiligingsprobleem heeft ontdekt, stellen wij het zeer op prijs als u dit op verantwoordelijke wijze aan ons meldt zodat we tijdig maatregelen kunnen nemen.


Wat wij van u vragen:

  • Mail uw bevindingen naar security@tenderb.com
  • Geef voldoende informatie om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen
  • Vermijd privacyschending, vernietiging van data en verstoring van onze diensten
  • Wacht met publicatie totdat het probleem is opgelost
  • Gebruik geen social engineering of DDoS aanvallen
  • Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van derden
  • Breng geen systeemveranderingen aan


Wat wij beloven:

  • Wij reageren binnen 3 werkdagen op uw melding
  • Wij behandelen uw melding vertrouwelijk en delen geen persoonlijke gegevens zonder uw toestemming
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem
  • Wij lossen het beveiligingsprobleem zo snel mogelijk op
  • In onze communicatie over het probleem vermelden wij u als ontdekker als u dit wenst
  • Wij stellen een vermelding op onze Hall of Fame in het vooruitzicht bij een relevante vondst


Wat valt er onder de scope:

  • TenderB SaaS platformen (*.tenderb.com)
  • TenderB API endpoints
  • TenderB web applicaties
  • TenderB mobiele applicaties


Wat valt er niet onder de scope:

  • Denial of Service aanvallen
  • Spamming
  • Social engineering
  • Aanvallen op fysieke beveiliging
  • Applicaties/systemen van derden
  • Problemen die al bekend zijn via eerdere meldingen
  • Theoretische beveiligingsproblemen zonder praktische uitwerking


Juridisch Kader:

We zullen geen juridische stappen tegen u ondernemen als u zich aan de bovenstaande voorwaarden houdt. We behouden ons het recht voor om juridische stappen te ondernemen wanneer:

  • Er sprake is van het delen van data met derden
  • Er sprake is van publicatie voordat het probleem is opgelost
  • Er sprake is van activiteiten die verder gaan dan wat redelijkerwijs nodig is om het beveiligingsprobleem aan te tonen
  • Er sprake is van het gebruik van social engineering of DDoS aanvallen


Beloning:

TenderB heeft geen bug bounty programma. Wel kunnen we bij substantiële bevindingen een vermelding op onze Hall of Fame aanbieden en/of een symbolische beloning verstrekken.


Hoe te melden:

1. Stuur een email naar security@tenderb.com

2. Gebruik PGP encryptie indien mogelijk (onze publieke sleutel is beschikbaar op onze website)

3. Geef een gedetailleerde beschrijving van het probleem

4. Vermeld mogelijke impact van het beveiligingsprobleem

5. Voeg eventuele technische details en reproductie stappen toe

6. Voeg uw contactgegevens toe voor verdere communicatie


We waarderen uw hulp bij het veilig houden van TenderB en onze gebruikers.


*Dit beleid kan van tijd tot tijd worden aangepast. Controleer regelmatig of er wijzigingen zijn.*


Laatst bijgewerkt: 8-2-2025

Versie: 1.0

Eigenaar: Alex de Ruiter