For the Dutch version, please scroll down. For the English version, please read further.
At Advisor, we believe that the security of our systems, our network and our products is very important. We pay a lot of attention to this during development and maintenance. However, sometimes vulnerabilities escape detection. We appreciate you notifying us if you find one. We would prefer to hear about it as soon as possible so that we can take measures to protect our customers.
If you believe you’ve found a security issue in our product or service, please notify us as soon as possible by emailing us at security@advisor.nl.
- Do not share information about the security problem with others until the problem is resolved.
- Provide information about how and when the vulnerability or malfunction occurs. Clearly describe how this problem can be reproduced and provide information about the method used and the time of investigation.
- Be responsible with the knowledge about the security problem. Do not perform any actions beyond those necessary to demonstrate the security problem. Do not abuse the vulnerability and do not keep confidential data obtained through the vulnerability in the system.
- Leave your contact details (e-mail address or telephone number) if you want, so that Advisor can contact you about the assessment and progress of the vulnerability solution. We also take anonymous reports seriously.
- Do not use physical attacks, DDOS attacks, social engineering or hacking tools such as vulnerability scanners.
- Our responsible disclosure policy is not an invitation to actively scan our company network for vulnerabilities. Our systems are being monitored continuously. As a result, there is a good chance that a scan will be detected and our Security Operation Center (SOC) will investigate it.
How does Advisor handle Responsible Disclosure?
When you report a suspected vulnerability in an IT system, we will deal with this in the following way:
- You will receive confirmation of receipt from Advisor within three business days after the report.
- You will receive a response within three business days after the confirmation of receipt containing an assessment of the report and the expected date of resolution. We strive to keep you informed on progress of resolution.
- Advisor treat your report confidentially and will not share your information with third parties without your permission, unless this is required by law or by a court order.
- In communication about the reported problem, we will state your name as the party that discovered the problem, if you wish.
- It is unfortunately not possible to guarantee in advance that no legal action will be taken against you. We hope to be able to consider each situation individually. We consider ourselves morally obligated to report you if we suspect the weakness or data are being abused, or that you have shared knowledge of the weakness with others. You can rest assured that an accidental discovery in our online environment will not lead to prosecution.
This Responsible Disclosure scheme is not intended for reporting complaints. The scheme is also not intended for:
- Reporting that the website is not available.
- Reporting fake e-mails (phishing e-mails).
- Reporting fraud.
For issues pertaining to the above and any other inquiries please get in touch with our support team.
Advisor does not have an active bug bounty scheme. In very exceptional cases a monetary/goodies reward can be made available.
Which systems/problems are excluded from rewards?
Not all systems that are accessible under our logos fall under Advisor’s direct control. Although we also take reports regarding these systems very seriously, we cannot allow them to lead to any rewards.
We also exclude specific problems that in our opinion do not constitute a threat outside of a laboratory set-up.
EXCLUDED TYPES OF SECURITY PROBLEMS
- SPF / DMARC records
- (D)DOS attacks and rate limiting of calls
- Problems that amount to self-XSS
- Error messages without sensitive data
- Reports from which software we use can be deduced
- Publicly accessible application keys and application secrets in website or mobile application config files
- Problems that require the use of heavily outdated operating systems, browsers or – obsolete plug ins
- Problems that have already been reported by vulnerability scanning tools like Dependabot and Snyk
- Problems that are already known to us
This policy has been drawn up based on the NCSC’s Responsible Disclosure Guideline.
Bij Advisor hechten we groot belang aan de veiligheid van onze systemen, ons netwerk en onze producten. We besteden hier veel aandacht aan tijdens ontwikkeling en onderhoud. Toch kunnen kwetsbaarheden soms onopgemerkt blijven. We stellen het op prijs als u ons informeert wanneer u er een vindt. We horen er bij voorkeur zo snel mogelijk over, zodat we maatregelen kunnen nemen om onze klanten te beschermen.
Als u denkt dat u een beveiligingsprobleem in ons product of onze dienst heeft gevonden, meld dit dan zo snel mogelijk door een e-mail te sturen naar security@advisor.nl.
- Deel geen informatie over het beveiligingsprobleem met anderen totdat het probleem is opgelost.
- Geef informatie over hoe en wanneer de kwetsbaarheid of storing optreedt. Beschrijf duidelijk hoe dit probleem kan worden gereproduceerd en geef informatie over de gebruikte methode en het tijdstip van onderzoek.
- Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Voer geen acties uit die verder gaan dan nodig is om het beveiligingsprobleem aan te tonen. Misbruik de kwetsbaarheid niet en bewaar geen vertrouwelijke gegevens die via de kwetsbaarheid in het systeem zijn verkregen.
- Laat desgewenst uw contactgegevens (e-mailadres of telefoonnummer) achter, zodat Advisor contact met u kan opnemen over de beoordeling en voortgang van de oplossing van de kwetsbaarheid. We nemen ook anonieme meldingen serieus.
- Gebruik geen fysieke aanvallen, DDOS-aanvallen, social engineering of hacktools zoals kwetsbaarhedenscanners.
- Ons verantwoord onthullingsbeleid is geen uitnodiging om actief ons bedrijfsnetwerk te scannen op kwetsbaarheden. Onze systemen worden continu gemonitord. Hierdoor is er een grote kans dat een scan wordt gedetecteerd en ons Security Operation Center (SOC) dit zal onderzoeken.
Hoe gaat Advisor om met Responsible Disclosure?
Wanneer u een vermoedelijke kwetsbaarheid in een IT-systeem meldt, gaan we hier als volgt mee om:
- U ontvangt binnen drie werkdagen na de melding een ontvangstbevestiging van Advisor.
- U ontvangt binnen drie werkdagen na de ontvangstbevestiging een reactie met een beoordeling van de melding en de verwachte datum van oplossing. We streven ernaar u op de hoogte te houden van de voortgang van de oplossing.
- Advisor behandelt uw melding vertrouwelijk en zal uw gegevens niet zonder uw toestemming met derden delen, tenzij dit wettelijk verplicht is of door een rechterlijk bevel wordt opgelegd.
- In communicatie over het gemelde probleem zullen we uw naam vermelden als de partij die het probleem heeft ontdekt, als u dat wenst.
- Het is helaas niet mogelijk om vooraf te garanderen dat er geen juridische stappen tegen u zullen worden ondernomen. We hopen elke situatie individueel te kunnen beoordelen. We achten onszelf moreel verplicht u te melden als we vermoeden dat de zwakte of gegevens worden misbruikt, of dat u kennis over de zwakte met anderen heeft gedeeld. U kunt er gerust op zijn dat een toevallige ontdekking in onze online omgeving niet tot vervolging zal leiden.
Deze Responsible Disclosure is niet bedoeld voor het melden van klachten. De regeling is ook niet bedoeld voor:
- Het melden dat de website niet beschikbaar is.
- Het melden van nepmailtjes (phishing e-mails).
- Het melden van fraude.
Voor kwesties met betrekking tot het bovenstaande en andere vragen kunt u contact opnemen met ons supportteam.
Advisor heeft geen actief bug bounty-programma. In zeer uitzonderlijke gevallen kan een geldelijke beloning of een beloning in natura beschikbaar worden gesteld.
Welke systemen/problemen zijn uitgesloten van beloningen?
Niet alle systemen die onder onze logo’s toegankelijk zijn, vallen onder de directe controle van Advisor. Hoewel we meldingen over deze systemen ook zeer serieus nemen, kunnen we niet toestaan dat deze tot beloningen leiden.We sluiten ook specifieke problemen uit die naar onze mening buiten een laboratoriumopstelling geen bedreiging vormen.
UITGESLOTEN TYPEN BEVEILIGINGSPROBLEMEN
- SPF / DMARC-records
- (D)DOS-aanvallen en rate limiting van oproepen
- Problemen die neerkomen op self-XSS
- Foutmeldingen zonder gevoelige gegevens
- Meldingen waaruit kan worden afgeleid welke software we gebruiken
- Openbaar toegankelijke applicatiesleutels en applicatiegeheimen in website- of mobiele applicatie-configuratiebestanden
- Problemen die het gebruik van sterk verouderde besturingssystemen, browsers of verouderde plug-ins vereisen
- Problemen die al zijn gemeld door kwetsbaarheidsscanning tools zoals Dependabot en Snyk
- Problemen die al bij ons bekend zijn
Dit beleid is opgesteld op basis van de Responsible Disclosure Richtlijn van het NCSC Responsible Disclosure Guideline