Beleid

Responsible
disclosure.

Heb je een kwetsbaarheid gevonden in onze systemen of website? Meld het verantwoord — we waarderen het en pakken het serieus op.

Introductie

Jimgo bouwt en test software op veiligheid. We proberen onze eigen systemen zo goed mogelijk te beveiligen, maar we zijn ons ervan bewust dat kwetsbaarheden kunnen bestaan. Als je er een vindt, horen we dat graag van jou — vóór een kwaadwillende dat doet.

Dit beleid is gebaseerd op de richtlijnen van het Nationaal Cyber Security Centrum (NCSC) voor responsible disclosure.

Scope

Dit beleid is van toepassing op kwetsbaarheden in:

  • De website jimgo.me en alle subdomeinen
  • Systemen en infrastructuur die Jimgo beheert en exploiteert
  • E-mailconfiguratie (SPF, DKIM, DMARC)

Kwetsbaarheden in systemen van derden die wij gebruiken (zoals hostingproviders of SaaS-tools) vallen buiten de scope van dit beleid. Meld die rechtstreeks bij de betreffende partij.

Spelregels

Wij vragen je om je te houden aan de volgende spelregels:

  • Maak geen misbruik van de kwetsbaarheid — raadpleeg geen data die je niet toebehoort, breng geen schade toe aan systemen en verwijder of wijzig geen gegevens
  • Deel de kwetsbaarheid niet met anderen totdat deze is opgelost
  • Voer geen aanvallen uit op de beschikbaarheid van onze systemen (DoS/DDoS)
  • Gebruik geen geautomatiseerde scanners zonder voorafgaande toestemming
  • Handel in overeenstemming met de wet

Als je je aan deze spelregels houdt, zullen wij geen juridische stappen ondernemen naar aanleiding van jouw melding — ook als je daadwerkelijk toegang hebt verkregen tot gegevens.

Hoe meld je een kwetsbaarheid?

Stuur je melding naar hi@jimgo.me met als onderwerp "Responsible disclosure".

Vermeld in je melding:

  • Een beschrijving van de kwetsbaarheid en waar je hem hebt aangetroffen
  • Stap-voor-stap instructies om de kwetsbaarheid te reproduceren
  • De potentiële impact volgens jou
  • Eventuele screenshots of ondersteunend bewijs

Hoe gedetailleerder je melding, hoe sneller wij kunnen handelen.

Wat wij doen met jouw melding

  • Je ontvangt binnen twee werkdagen een ontvangstbevestiging
  • We beoordelen de melding en bepalen de ernst binnen vijf werkdagen
  • We informeren je over de voortgang en de verwachte oplossingsdatum
  • We lossen de kwetsbaarheid op binnen een termijn die past bij de ernst — kritieke kwetsbaarheden binnen 72 uur
  • Na oplossing informeren we je en vragen we je de melding te verifiëren

Coördineerde publicatie

We hanteren een maximale coördinatieperiode van 90 dagen vanaf de datum van ontvangst. Na die periode ben je vrij om de kwetsbaarheid publiek te maken, ongeacht of wij hem hebben opgelost — mits je ons tijdig op de hoogte stelt van je intentie.

Als wij de kwetsbaarheid tijdig oplossen, zullen we je — indien gewenst — vermelden als ontdekker in onze communicatie over de fix.

Geen bug bounty

Jimgo biedt op dit moment geen financiële vergoeding aan voor meldingen. We waarderen je inspanning en danken je oprecht — en als er een gepaste manier is om dat te tonen, doen we dat.

Contact

Vragen over dit beleid? Mail naar hi@jimgo.me.

Laatste update: april 2026