Responsible Disclosure

Wij nemen de veiligheid van onze systemen en gebruikers zeer serieus en hechten veel waarde aan het verbeteren hiervan. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Om kwaadwillenden een stap voor te blijven, willen we graag dat iedereen die een kwetsbaarheid in onze systemen vindt dat aan ons meldt.

Door het maken van een melding verklaart u zich als melder akkoord met onderstaande afspraken over Responsible Disclosure en zullen wij uw melding conform onderstaande afspraken afhandelen.

Wij vragen het volgende van u:

 • Dien de melding zo snel mogelijk in na de ontdekking van een mogelijke kwetsbaarheid.
 • Voor het melden gebruikt u het daarvoor bestemde formulier "Melding Responsible Disclosure".
 • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen.
 • Wij houden ons aanbevolen voor tips die ons helpen het probleem op te lossen. Beperkt u zich daarbij wel graag tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde kwetsbaarheid en vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings-) producten.
 • U vermijdt schending van privacy, verslechtering van de gebruikerservaring, verstoring aan productiesystemen en vernietiging van gegevens tijdens beveiligingstests;
 • Deel het probleem niet met anderen totdat het is opgelost.

Wat is niet toegestaan:

Vanwege de veiligheid van onze gebruikers, medewerkers, het internet in het algemeen en u als beveiligingsonderzoeker zijn de volgende handelingen niet toegestaan:

 • Het testen van applicaties anders dan dit domein, namelijk “shift2.nl”;
 • Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden.
 • Social engineering en of fysieke testen (vb phishing, tailgating);
 • Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (vb DoS-aanvallen).
 • Het plaatsen van malware.
 • Gegevens in het systeem kopiëren, wijzigen of verwijderen.
 • Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost.

Wat mag u van ons verwachten:

 • Wij werken met u samen om de kwetsbaarheid te begrijpen en snel op te lossen (waaronder een eerste bevestiging van uw melding binnen 72 uur na indiening daarvan);
 • Wij houden u op de hoogte van onze pogingen om de kwetsbaarheid op te lossen;
 • Indien u aan alle bovenstaande voorwaarden voldoet, zullen wij geen strafrechtelijke aangifte tegen u doen en ook geen civielrechtelijke zaak tegen u aanspannen.

Heeft u vragen en / of opmerkingen over deze Responsible Disclosure, dan kunt u contact opnemen met Emiel Duinisveld (Chief Information Security Officer bij Shift2)