Security policy

Beleid voor het melden van beveiligingsproblemen

Verantwoorde openbaarmaking

Stip Hosting hecht waarde aan de beveiligingsgemeenschap en verwelkomt verantwoorde meldingen van beveiligingsproblemen. We werken graag samen met beveiligingsonderzoekers om potentiële risico’s zorgvuldig te beoordelen en waar nodig te verhelpen.

Een kwetsbaarheid melden

Als je denkt dat je een beveiligingsprobleem in onze systemen hebt ontdekt, meld dit dan volgens deze richtlijnen:

Hoe te melden

E-mail: security@stiphosting.nl

Wat je moet vermelden

Verwerk de volgende informatie in je melding:

  • Gedetailleerde beschrijving van de kwetsbaarheid
  • Stappen om het probleem te reproduceren
  • Potentiële impact en inschatting van de ernst
  • Getroffen URL’s, systemen of componenten
  • Proof-of-concept (bij voorkeur screenshots, geen actieve exploits)

Reactietijd

  • Eerste reactie: Binnen 5 werkdagen
  • Statusupdate: Binnen 10 werkdagen
  • Oplossing: Afhankelijk van ernst en complexiteit

Onze toezegging

Je kunt het volgende verwachten:

  • Bevestiging van je melding binnen 5 werkdagen
  • Regelmatige updates over onze voortgang
  • Goede inspanning om geldige kwetsbaarheden snel op te lossen

Richtlijnen voor verantwoorde openbaarmaking

Om deel te nemen aan ons programma voor verantwoorde openbaarmaking, vragen we je om:

Wel:

  • Ons redelijke tijd te geven om het probleem te onderzoeken en op te lossen voordat je het openbaar maakt (minimaal 90 dagen)
  • Te goeder trouw te proberen privacyschendingen, gegevensvernietiging of serviceverstoring te voorkomen
  • Alleen te testen op systemen waarvan je denkt dat ze binnen scope vallen
  • Kwetsbaarheden zo snel als redelijkerwijs mogelijk te melden

Niet:

  • Gegevens van anderen bekijken, wijzigen of verwijderen
  • Aanvallen uitvoeren die de betrouwbaarheid of integriteit van onze diensten kunnen schaden
  • Social engineering, phishing of fysieke aanvallen gebruiken
  • Compensatie eisen of dreigen met openbaarmaking

Reikwijdte

Binnen scope:

  • stiphosting.nl en subdomeinen
  • Webapplicaties en API’s gehost door stiphosting.nl
  • Serverinfrastructuur direct beheerd door stiphosting.nl

Buiten scope:

  • Diensten of applicaties van derden die niet direct worden beheerd door stiphosting.nl
  • Social engineering-aanvallen
  • Fysieke beveiligingsaanvallen
  • Denial of Service (DoS/DDoS) aanvallen
  • Spam of social engineering gericht op ons personeel of klanten

Juridische bescherming

We zullen geen juridische stappen ondernemen tegen beveiligingsonderzoekers die:

  • Dit beleid volgen
  • Te goeder trouw proberen schade te voorkomen
  • Kwetsbaarheden niet verder exploiteren dan nodig is om het probleem aan te tonen

Vragen?

Als je vragen hebt over dit beleid, neem dan contact op via security@stiphosting.nl

Laatst bijgewerkt: oktober 2025