Meld kwetsbaarheden via security@pandig.nl. Gebruik bij voorkeur het onderwerp 'Security report' en stuur voldoende detail mee om het probleem te reproduceren.
Beveiligingsbeleid
Responsible disclosure en beveiligingsbeleid voor Pandig
Op deze pagina leggen wij uit hoe security-onderzoekers, klanten en partners kwetsbaarheden in Pandig kunnen melden, wat wij van melders verwachten en hoe Pandig B.V. coordinated disclosure behandelt.
Pandig is een Nederlandse dienst. Een Engelse vertaling kan voor het gemak beschikbaar zijn, maar bij verschil in formulering of uitleg prevaleert de Nederlandse tekst.
Dit beleid ziet op de Pandig-productiedienst, officiele publieke websites en first-party beheerde infrastructuur die redelijkerwijs onder onze controle valt.
Onderzoek te goeder trouw dat binnen dit beleid blijft, geen klantschade veroorzaakt en stopt na het bevestigen van impact, behandelen wij niet als onbevoegd misbruik.
Er is op dit moment geen bug bounty of betaald beloningsprogramma voor kwetsbaarheden.
1. Hoe u een kwetsbaarheid meldt
Als u denkt een beveiligingskwetsbaarheid in Pandig te hebben gevonden, meld die dan zo snel als redelijkerwijs mogelijk via security@pandig.nl.
Wij ontvangen bij voorkeur een volledige melding per issue, in het Nederlands of Engels.
- Beschrijf de betrokken URL, functie, host, omgeving en het door u geobserveerde beveiligingsimpact.
- Voeg duidelijke reproductiestappen, proof-of-concept-materiaal en zo min mogelijk data toe die nodig is om het probleem aan te tonen.
- Vermeld uw contactgegevens en of u beschikbaar bent om een fix later opnieuw te valideren.
- Maak het probleem niet openbaar voordat wij een redelijke kans hebben gehad om onderzoek te doen en maatregelen te nemen.
2. Verwachtingen voor onderzoek te goeder trouw
Wij waarderen onderzoek te goeder trouw dat bedoeld is om de beveiliging van Pandig te verbeteren. Activiteit die klantschade, verstoring of privacyschending veroorzaakt, valt hier niet onder.
- Handel alleen op accounts en data van uzelf of waarvoor u expliciete schriftelijke toestemming heeft.
- Vermijd social engineering, phishing, fysieke aanvallen, spam, denial-of-service en geautomatiseerde scans met hoog volume.
- Open, wijzig, download, exfiltreer of bewaar geen klantdata verder dan strikt noodzakelijk om de kwetsbaarheid te bevestigen.
- Stop met testen zodra u het probleem heeft bevestigd en stuur de melding direct op.
- Gebruik een kwetsbaarheid niet voor persistentie, privilege escalation, laterale beweging of herhaalde toegang.
3. Wat buiten scope valt
Sommige meldingen zijn nuttig voor productverbetering, maar vallen buiten dit disclosurebeleid of kwalificeren niet als direct oplosbare kwetsbaarheid.
- Issues die alleen werken met onwaarschijnlijke gebruikersinteractie zonder aannemelijk misbruikpad.
- Ontbrekende best-practice-headers of configuratie-observaties met laag risico zonder aangetoonde exploitatieketen.
- Self-XSS, clickjacking op niet-gevoelige pagina's, rate-limit-observaties zonder aangetoonde impact en meldingen die alleen op verouderde library-banners zijn gebaseerd.
- Kwetsbaarheden in third-party diensten, software of dependencies die niet leiden tot een concrete exploiteerbare conditie in Pandig zelf.
- Verzoeken om gegarandeerde responstijden, advieswerk, toestemming voor penetratietests buiten dit beleid of onderhandelingen over betaalde bounty's.
4. Hoe wij meldingen afhandelen
Pandig B.V. beoordeelt binnenkomende meldingen, valideert de impact, prioriteert maatregelen op basis van risico en coordineert fixes via de normale engineering- en operationele processen.
Wij streven naar een eerste inhoudelijke reactie op basis van best effort binnen vijf werkdagen, maar reactie- en oplostijden hangen af van ernst, operationeel risico en de kwaliteit van de reproducerbaarheid.
- Wij kunnen vervolgvragen stellen, aanvullende validatie vragen of na een fix een private hertest afstemmen.
- Als een melding klantdata of een actief incident raakt, kunnen wij communicatie strakker regisseren om betrokkenen te beschermen.
- Waar passend kunnen wij na herstel dit beleid, release notes of trust-materiaal bijwerken.
Securitycontact
Gebruik onderstaande contactgegevens voor coordinated vulnerability disclosure rond Pandig.
- Pandig B.V.
- Pandig
- https://pandig.nl/security-policy