Security Policy & Responsible Disclosure

Laatst bijgewerkt: 13-05-2026 · Geldig voor: itlive.nl en alle subdomeinen + klant-omgevingen die door IT Live worden beheerd.

Onze belofte

Security is een gedeelde verantwoordelijkheid. Heb je een kwetsbaarheid gevonden? Meld het ons — wij garanderen een respectvolle, transparante en zo snel mogelijke afhandeling. Geen juridische stappen tegen security-onderzoekers die zich aan deze policy houden.

Contact

Mail: security@itlive.nl
PGP-sleutel: op aanvraag via security@itlive.nl
Machine-readable: /.well-known/security.txt

Scope

In scope:

Alle *.itlive.nl productie-domeinen
Klant-omgevingen die door IT Live worden gehost (alleen met expliciete toestemming van de klant)
Onze publieke API's

Out of scope:

Brute-force, password-spraying, credential-stuffing
(D)DoS-aanvallen of stress-testen
Social engineering tegen medewerkers, klanten of leveranciers
Physical security van kantoor-/datacenter-locaties
Issues in third-party software waar geen impact op onze omgeving aantoonbaar is
Self-XSS, missing security headers zonder demonstrable exploit, banner disclosure

SLA

Bevestiging: binnen 3 werkdagen
Triage: binnen 7 werkdagen (severity assignment + initieel oordeel)
Mitigatie: critical < 72u · high < 30 dagen · medium < 60 dagen · low < 90 dagen
Disclosure: in overleg, doorgaans 90 dagen na fix

Hall of fame

Bij verifieerbare findings vermelden we (met toestemming) naam, handle of bedrijf op een publieke hall-of-fame. Voor critical findings overleggen we over een gepaste vergoeding.

Spelregels

Toon de kwetsbaarheid aan met minimale bewijsvoering — geen data exfiltratie.
Geen wijzigingen, verwijderingen of impact op andere gebruikers.
Geef ons redelijke tijd om te fixen vóór publicatie.
Houd findings vertrouwelijk tot wij gezamenlijk publiceren.

Juridisch

Onderzoek dat in lijn met deze policy wordt uitgevoerd zien wij als ‘authorized’ conform de Computer Fraud and Abuse Act (CFAA), de Nederlandse Computercriminaliteit-wet en gelijkaardige wetgeving. We zullen geen civielrechtelijke of strafrechtelijke stappen ondernemen tegen onderzoekers die zich aan deze policy houden.

← Terug naar Transparantie & Trust