Kwetsbaarheid melden

SolarResult neemt de beveiliging van haar producten en diensten serieus. Heeft u een kwetsbaarheid of beveiligingsprobleem gevonden? Dan horen wij dat graag, zodat we het snel kunnen verhelpen. Dit beleid beschrijft hoe u een melding doet en wat u van ons mag verwachten (coordinated vulnerability disclosure).

Zo meldt u een kwetsbaarheid

Stuur uw melding per e-mail naar [email protected]. Vermeld daarbij zo mogelijk:

  • een beschrijving van de kwetsbaarheid en de mogelijke impact;
  • het betrokken product of de betrokken dienst, inclusief versie;
  • de stappen om het probleem te reproduceren;
  • eventueel bewijsmateriaal, zoals schermafbeeldingen of een proof of concept.

Wat valt binnen de scope

  • de hardware en firmware van onze producten, waaronder de Dinnis;
  • de apps van SolarResult (SolarResult Installer en de bewoners-app);
  • onze clouddiensten, waaronder app.solarresult.nl;
  • de website solarresult.nl.

Wat wij van u vragen

  • Maak niet meer gebruik van de kwetsbaarheid dan nodig is om deze aan te tonen.
  • Bekijk, wijzig of verwijder geen gegevens van anderen.
  • Verstoor de beschikbaarheid van onze diensten niet (geen denial-of-service).
  • Gebruik geen social engineering, spam of fysieke toegang tot systemen.
  • Maak de kwetsbaarheid niet openbaar voordat deze is verholpen; wij stemmen het moment van publicatie graag met u af.

Wat u van ons mag verwachten

  • U ontvangt binnen 7 dagen een ontvangstbevestiging.
  • Wij beoordelen de melding, houden u op de hoogte van de voortgang en streven naar een spoedige oplossing.
  • Wij behandelen uw melding vertrouwelijk en delen uw gegevens niet zonder uw toestemming met derden, tenzij de wet ons daartoe verplicht.
  • Als u dat wilt, vermelden wij uw naam als ontdekker bij de publicatie over het herstel.

Safe harbor

Meldt u een kwetsbaarheid te goeder trouw en volgens dit beleid, dan beschouwen wij uw melding als waardevolle hulp en ondernemen wij geen juridische stappen tegen u in verband met die melding.

Machine-leesbaar

Dit beleid is ook machine-leesbaar beschikbaar volgens RFC 9116: /.well-known/security.txt.