Security policy

Security vulnerability disclosure policy

Responsible disclosure

Stip Hosting values the security community and welcomes responsible disclosure of security vulnerabilities. We are committed to working with security researchers to verify and address any potential vulnerabilities.

 

Reporting a vulnerability

If you believe you have discovered a security vulnerability in our systems, please report it to us following these guidelines:

How to report

Email: security@stiphosting.nl

What to include

Please provide the following information in your report:

  • Detailed description of the vulnerability
  • Steps to reproduce the issue
  • Potential impact and severity assessment
  • Affected URLs, systems, or components
  • Proof-of-concept (screenshots preferred, no active exploits)

Response timeline

  • Initial Response: Within 5 business days
  • Status Update: Within 10 business days
  • Resolution: Depends on severity and complexity

Our commitment

When working with us, you can expect:

  • Acknowledgment of your report within 5 business days
  • Regular updates on our progress
  • Good faith effort to resolve valid vulnerabilities promptly

Responsible disclosure guidelines

To participate in our responsible disclosure program, we ask that you:

Do:

  • Give us reasonable time to investigate and fix the issue before public disclosure (minimum 90 days)
  • Make a good faith effort to avoid privacy violations, data destruction, or service disruption
  • Only test against systems you believe are in scope
  • Report vulnerabilities as soon as reasonably possible

Don’t:

  • Access, modify, or delete data belonging to others
  • Perform attacks that could harm the reliability or integrity of our services
  • Use social engineering, phishing, or physical attacks
  • Demand compensation or threaten public disclosure

Scope

In scope:

  • stiphosting.nl and its subdomains
  • Web applications and APIs hosted by stiphosting.nl
  • Server infrastructure directly managed by stiphosting.nl

Out of scope:

  • Third-party services or applications not directly controlled by stiphosting.nl
  • Social engineering attacks
  • Physical security attacks
  • Denial of Service (DoS/DDoS) attacks
  • Spam or social engineering of our staff or customers

Legal safe harbor

We will not pursue legal action against security researchers who:

  • Follow this disclosure policy
  • Make a good faith effort to avoid harm
  • Do not exploit vulnerabilities beyond what is necessary to demonstrate the issue

Questions?

If you have questions about this policy, please contact us at security@stiphosting.nl

Last updated: October 2025

Beleid voor het melden van beveiligingsproblemen

Verantwoorde openbaarmaking

Stip Hosting hecht waarde aan de beveiligingsgemeenschap en verwelkomt verantwoorde meldingen van beveiligingsproblemen. We werken graag samen met beveiligingsonderzoekers om potentiële risico’s zorgvuldig te beoordelen en waar nodig te verhelpen.

Een kwetsbaarheid melden

Als je denkt dat je een beveiligingsprobleem in onze systemen hebt ontdekt, meld dit dan volgens deze richtlijnen:

Hoe te melden

E-mail: security@stiphosting.nl

Wat je moet vermelden

Verwerk de volgende informatie in je melding:

  • Gedetailleerde beschrijving van de kwetsbaarheid
  • Stappen om het probleem te reproduceren
  • Potentiële impact en inschatting van de ernst
  • Getroffen URL’s, systemen of componenten
  • Proof-of-concept (bij voorkeur screenshots, geen actieve exploits)

Reactietijd

  • Eerste reactie: Binnen 5 werkdagen
  • Statusupdate: Binnen 10 werkdagen
  • Oplossing: Afhankelijk van ernst en complexiteit

Onze toezegging

Je kunt het volgende verwachten:

  • Bevestiging van je melding binnen 5 werkdagen
  • Regelmatige updates over onze voortgang
  • Goede inspanning om geldige kwetsbaarheden snel op te lossen

Richtlijnen voor verantwoorde openbaarmaking

Om deel te nemen aan ons programma voor verantwoorde openbaarmaking, vragen we je om:

Wel:

  • Ons redelijke tijd te geven om het probleem te onderzoeken en op te lossen voordat je het openbaar maakt (minimaal 90 dagen)
  • Te goeder trouw te proberen privacyschendingen, gegevensvernietiging of serviceverstoring te voorkomen
  • Alleen te testen op systemen waarvan je denkt dat ze binnen scope vallen
  • Kwetsbaarheden zo snel als redelijkerwijs mogelijk te melden

Niet:

  • Gegevens van anderen bekijken, wijzigen of verwijderen
  • Aanvallen uitvoeren die de betrouwbaarheid of integriteit van onze diensten kunnen schaden
  • Social engineering, phishing of fysieke aanvallen gebruiken
  • Compensatie eisen of dreigen met openbaarmaking

Reikwijdte

Binnen scope:

  • stiphosting.nl en subdomeinen
  • Webapplicaties en API’s gehost door stiphosting.nl
  • Serverinfrastructuur direct beheerd door stiphosting.nl

Buiten scope:

  • Diensten of applicaties van derden die niet direct worden beheerd door stiphosting.nl
  • Social engineering-aanvallen
  • Fysieke beveiligingsaanvallen
  • Denial of Service (DoS/DDoS) aanvallen
  • Spam of social engineering gericht op ons personeel of klanten

Juridische bescherming

We zullen geen juridische stappen ondernemen tegen beveiligingsonderzoekers die:

  • Dit beleid volgen
  • Te goeder trouw proberen schade te voorkomen
  • Kwetsbaarheden niet verder exploiteren dan nodig is om het probleem aan te tonen

Vragen?

Als je vragen hebt over dit beleid, neem dan contact op via security@stiphosting.nl

Laatst bijgewerkt: oktober 2025