Skip to main content

Laatst bijgewerkt: 2026-05-21

Beveiliging & Kwetsbaarheidsmelding

Wij nemen de beveiliging van de gegevens van onze klanten serieus. Als u vermoedt dat u een beveiligingskwetsbaarheid heeft gevonden in een dienst van ELLYTIC Technologies UG (haftungsbeschränkt), moedigen wij u aan deze te melden volgens onderstaand beleid. Wij verbinden ons ertoe om te goeder trouw samen te werken met onderzoekers en geldige meldingen te erkennen.

Binnen de reikwijdte

De volgende ELLYTIC-eigendommen vallen binnen de reikwijdte voor beveiligingsmeldingen:

  • ellytic.com en alle subdomeinen (*.ellytic.com)
  • app.ellytic.com (Ops Workbench)
  • API-endpoints onder ellytic.com/api/* en app.ellytic.com/api/*
  • Authenticatiestromen, waaronder OAuth, magic-link en TOTP MFA
  • Klantdashboards en orderprocessen
  • Wizard-checkout, betalingen en documentupload-stromen

Buiten de reikwijdte

Het volgende valt expliciet buiten de reikwijdte en bijbehorende meldingen komen niet in aanmerking voor erkenning:

  • Denial-of-service- (DoS / DDoS) aanvallen en volumetrische tests
  • Social engineering, phishing of fysieke aanvallen tegen medewerkers, opdrachtnemers of klanten
  • Bevindingen van geautomatiseerde scanners zonder werkende proof-of-concept (bijv. ontbrekende security headers zonder exploiteerbare impact)
  • Best-practice- of hardeningsuggesties zonder concrete kwetsbaarheid (bijv. CSP-aanpassingen, TLS-cipher-voorkeuren)
  • Meldingen tegen externe diensten die wij niet beheren (Stripe, IDnow, YouSign, Sanity, Vercel, Neon, Resend) — meld deze rechtstreeks bij de leverancier
  • Problemen die fysieke toegang tot het ontgrendelde apparaat van een slachtoffer vereisen
  • Self-XSS of kwetsbaarheden die configuratiewijzigingen door het slachtoffer vereisen om exploiteerbaar te zijn
  • Openbaarmaking van verouderde software (CVE in een afhankelijkheid) zonder aangetoond exploitpad in onze omgeving

Hoe te melden

Stuur een gedetailleerd rapport naar security@ellytic.com. Voeg voldoende informatie toe zodat wij het probleem snel kunnen reproduceren en triagieren. PGP-versleuteling wordt op verzoek ondersteund.

Maak het probleem niet openbaar voordat wij de remediatie hebben bevestigd. Wij verbinden ons tot een openbare erkenning (met uw toestemming) zodra een oplossing is uitgerold.

  • Betreffende URL, endpoint of component
  • Stap-voor-stap-reproductie (commando’s, payloads, verwacht vs. werkelijk gedrag)
  • Impactbeoordeling — welke gegevens of functionaliteit lopen risico?
  • Uw contactgegevens en hoe u erkend wilt worden (echte naam, pseudoniem of anoniem)
  • Ondersteunende screenshots, video’s of HTTP-verzoeklogs (graag gegevens van derden onleesbaar maken)

Safe Harbor

Wij zullen geen civielrechtelijke stappen ondernemen of opsporingsdiensten inschakelen voor te goeder trouw uitgevoerd onderzoek dat voldoet aan dit beleid. „Te goeder trouw" betekent:

  • U doet een oprechte poging om privacyschendingen, vernietiging van gegevens en verstoring van de dienst te vermijden
  • U stopt met testen zodra u heeft vastgesteld dat een kwetsbaarheid bestaat, en meldt deze
  • U opent, wijzigt of downloadt geen gegevens die het minimum overschrijden dat nodig is om het probleem aan te tonen
  • U richt zich alleen op uw eigen testaccounts — nooit op gegevens van een andere klant
  • U exploiteert het probleem niet voor winst en deelt het niet met derden vóór openbaarmaking
  • U geeft ons een redelijke termijn (zie reactietijden hieronder) om te remediëren vóór enige openbare bekendmaking

Onze reactietijden

Wij streven ernaar om binnen deze doelen op beveiligingsmeldingen te reageren. Kritieke problemen hebben voorrang op gepland werk.

  • Eerste bevestiging: binnen 2 werkdagen
  • Triage en beoordeling van de ernst: binnen 5 werkdagen
  • Statusupdates tijdens remediatie: minimaal elke 14 dagen
  • Oplosdoel (kritiek / hoog): 30 dagen vanaf bevestiging
  • Oplosdoel (gemiddeld / laag): 90 dagen vanaf bevestiging
  • Openbare bekendmaking: gecoördineerd met de melder, doorgaans nadat een fix is uitgerold

Beloningen

ELLYTIC heeft momenteel geen betaald bug-bounty-programma. Wij zullen geldige meldingen publiekelijk erkennen (met uw toestemming) op deze pagina en in onze hall of fame. Naarmate wij groeien, zijn wij van plan financiële beloningen in te voeren voor bevindingen met hoge impact — melders van kwalificerende rapporten worden als eerste uitgenodigd.

Dankwoord

Wij bedanken alle onderzoekers die verantwoord problemen aan ons hebben gemeld. Melders worden hier met hun toestemming vermeld. (Tot op heden geen openbare meldingen — wees de eerste.)

Contact

Alle correspondentie met betrekking tot beveiliging dient te worden gericht aan security@ellytic.com.

  • E-mail: security@ellytic.com
  • Machineleesbaar: /.well-known/security.txt (RFC 9116)
  • Voorkeurstalen: Engels, Duits
  • Post: ELLYTIC Technologies UG (haftungsbeschränkt), zie Imprint voor het volledige adres
Terug naar Home