Hoe kunt u melden?
Een ontdekte kwetsbaarheid in onze diensten kunt u melden via security@pay.nl.
Spelregels
Wij vragen u het probleem alleen via security@pay.nl te delen en het probleem niet openbaar te maken. Zo houden we de gegevens van onze klanten veilig. Fijn als u ons de tijd geeft het probleem op te lossen.
Bij uw onderzoek van de gevonden kwetsbaarheid mag u de applicaties niet beschadigen. U mag geen gegevens delen met anderen dan met medewerkers van PAY. Verder mag de dienstverlening nooit opzettelijk onderbroken worden door uw onderzoek.
Misschien doet u bij uw onderzoek iets wat volgens de wet niet mag. Als u daarbij te goeder trouw, zorgvuldig en volgens onderstaande spelregels handelt, doen wij geen aangifte.
Wij vragen u:
- bij de melding duidelijk te onderbouwen hoe het beveiligingsprobleem kan worden misbruikt. Maak hierbij bijvoorbeeld gebruik van screenshots of een stap-voor-stap uitleg.
- geen social engineering te gebruiken om toegang te krijgen tot onze systemen.
- geen backdoor in een informatiesysteem te plaatsen om de zwakke plek te laten zien.
- alleen te doen wat strikt noodzakelijk is om de kwetsbaarheid aan te tonen.
- geen gegevens te kopiëren, te wijzigen of te verwijderen. Stuur ons alleen (minimale) gegevens die u nodig heeft om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot.
- pogingen om toegang tot het systeem te krijgen te beperken, en gegevens over verkregen toegang niet te delen met anderen.
- geen zogenaamde ‘bruteforce attacks’ te gebruiken om in onze systemen te komen.
- één beveiligingsprobleem per melding in te dienen.
- te reageren indien wij extra informatie over de ingediende melding nodig hebben, neem nooit rechtstreeks of via andere kanalen dan via security@pay.nl