Vond u een kwetsbaarheid in een systeem of dienst van Appfront? Meld het bij ons via een gecoördineerd proces. Wij behandelen elke serieuze melding vertrouwelijk, bedanken te-goeder-trouw onderzoekers en ondernemen geen juridische stappen tegen verantwoorde meldingen die binnen dit beleid blijven.
Appfront ontwikkelt software voor opdrachtgevers in onder meer financiën, zorg en industrie. Beveiliging is een doorlopende verantwoordelijkheid en geen statische toestand. Wij waarderen het werk van externe onderzoekers die ons helpen kwetsbaarheden te vinden voordat ze schade kunnen aanrichten. Dit beleid beschrijft hoe u een kwetsbaarheid op een verantwoorde manier bij ons meldt, wat u van ons mag verwachten en welke wettelijke kaders van toepassing zijn.
Wij hanteren een coordinated vulnerability disclosure (CVD)-model in lijn met de richtlijnen van het NCSC, het DIVD en ENISA. Dat betekent dat melding, onderzoek en publicatie gecoördineerd verlopen, met als doel: kwetsbaarheden zo snel mogelijk verhelpen zonder gebruikers, klanten of derden nodeloos in gevaar te brengen.
Tegen onderzoekers die zich aan de regels van dit beleid houden, ondernemen wij geen juridische stappen. Wij beschouwen verantwoorde meldingen als een dienst aan ons, onze klanten en de bredere internetinfrastructuur. Vragen over de toepassing van dit beleid op een specifiek onderzoek kunt u vooraf voorleggen aan security@appfront.nl.
Dit beleid is een levend document. Wij actualiseren het wanneer wet- en regelgeving, infrastructuur of inzichten in security-onderzoek daarom vragen. Wijzigingen worden hier op deze pagina gepubliceerd, met vermelding van de versiedatum. Voor klanten en auditors die dit beleid willen aanhalen in een vendor-onboarding of risicobeoordeling, geldt de versie zoals die op het moment van raadpleging op deze pagina staat.
De publieke productiewebsite, marketing-subdomeinen en publiek bereikbare applicaties die door Appfront B.V. worden geëxploiteerd. Ook API-endpoints en authenticatie-flows op deze domeinen.
Door ons beheerde cloudomgevingen, build-pipelines en deploymentkanalen voor onze eigen diensten. Inclusief publiek toegankelijke configuratie- of supply-chain-onderdelen die direct onze software raken.
Systemen van onze opdrachtgevers (ook als wij die hebben gebouwd) vallen onder het beleid van die opdrachtgever. Diensten van derden zoals Google Workspace, HubSpot of GitHub vallen onder het beleid van die leverancier.
Interne, niet-publiek bereikbare endpoints, staging-omgevingen achter authenticatie en lokale ontwikkelomgevingen vallen buiten scope, tenzij u onbedoeld toegang heeft gekregen en dit zelf bij ons meldt.
Injectie (SQL, command, LDAP), broken access control, kapotte authenticatie, server-side request forgery, onveilige deserialisatie en alle andere kwetsbaarheidsklassen uit de actuele OWASP Top 10 voor web en API.
Authentication bypass, sessievaste fouten, privilege escalation, multi-tenancy lekken, IDOR-fouten en zwakheden in tweede-factor- of single-sign-on-implementaties op door ons beheerde systemen.
Kwetsbare of misgeconfigureerde dependencies, onveilige build- of release-pipelines, leaks van credentials of secrets in publieke artefacten, en infrastructuur-misconfiguraties die exploitatie mogelijk maken.
Verantwoord onderzoek beschermt zowel u als onze gebruikers. Houd zich aan onderstaande spelregels — dan blijft uw onderzoek binnen het beleid en binnen het wettelijke kader van te-goeder-trouw handelen onder onder andere de ISO 27001-richtlijnen die wij volgen.
Geen load-testen, geen flooding, geen tests die beschikbaarheid raken.
Geen geautomatiseerde scans met hoge frequentie of brede payload-sets.
Een proof-of-concept volstaat. Stop bij het minimaal benodigde bewijs.
Geen phishing of pretexting van medewerkers, klanten of leveranciers.
Geen pogingen tot toegang tot kantoren, datacenters of apparatuur.
Persoonsgegevens van derden niet bekijken, kopiëren of opslaan.
Geen backdoors, malware of persistentie achterlaten in onze systemen.
Deel de bevinding pas publiek nadat wij gezamenlijk een datum hebben afgesproken.
Mail uw bevinding naar security@appfront.nl. Voor gevoelige content kunt u onze PGP-fingerprint opvragen en uw bericht versleutelen. Bij urgente zaken kunt u parallel fabian.vandijk@appfront.nl in cc zetten.
Geef een duidelijke beschrijving van de kwetsbaarheid, reproduceerbare stappen, de impact die u inschat, eventuele screenshots of logregels en een suggestie voor mitigatie. Vermeld ook of u publiek erkenning wenst.
U ontvangt binnen vijf werkdagen een eerste bevestiging van ons security-team. Wij valideren de bevinding, bepalen de ernst en stemmen met u af hoe wij u op de hoogte houden van de voortgang tot aan publicatie.
Een ontvangstbevestiging met een eerste inschatting van de ernst. Bij ernstige bevindingen reageren wij in de regel sneller. Geen geautomatiseerde no-reply.
Wij houden u op de hoogte van de voortgang van het onderzoek en de fix. Geen vooraf vastgelegde deadlines: tempo en details hangen af van impact, complexiteit en afhankelijkheden van derden.
Publicatie gebeurt pas nadat de fix in productie staat. In lijn met internationale praktijk hanteren wij een redelijke termijn na bevestiging, met ruimte om in onderling overleg af te wijken bij complexe ketens.
Onderzoekers die ons hebben geholpen en publieke erkenning op prijs stellen, krijgen een vermelding in onze Hall of Fame op deze pagina. U kunt ook anoniem blijven; uw keuze respecteren wij.
Artikel 138ab Sr (computervredebreuk) sluit verantwoord beveiligingsonderzoek niet uit als het proportioneel, doelgericht en gemeld wordt. Onderzoek binnen de regels van dit beleid leidt niet tot aangifte door Appfront.
De Wet beveiliging netwerk- en informatiesystemen en de Europese NIS2-richtlijn vereisen passende beveiligingsmaatregelen en meldingen bij ernstige incidenten. Een CVD-proces is daarvan een logisch onderdeel.
Bij meldingen die persoonsgegevens raken volgen wij artikel 33 en 34 AVG voor datalek-meldingen. Voor financiële klanten is de Europese DORA-verordening relevant; wij stemmen daarmee af waar van toepassing en zorgen voor onderlinge afstemming van timelines en communicatie naar toezichthouders.
Een melding die binnenkomt op security@appfront.nl wordt uitsluitend gelezen door medewerkers die bij de afhandeling betrokken zijn. Wij hanteren een principe van need-to-know: technische details worden alleen gedeeld met collega's of opdrachtgevers die nodig zijn om de kwetsbaarheid te valideren, te repliceren en te verhelpen.
Na een eerste validatie classificeren wij de bevinding op ernst (laag, middel, hoog, kritiek) en op betrokken eigenaar. Voor onze eigen systemen plannen wij de fix in op basis van die classificatie. Voor bevindingen die door- of bij een opdrachtgever spelen, brengen wij de betrokken klant binnen onze contractuele afspraken vertrouwelijk op de hoogte en coördineren wij mee in plaats van eenzijdig te publiceren.
Communicatie met de melder verloopt via dezelfde threadketen, bij voorkeur in dezelfde taal als de oorspronkelijke melding. Bij kritieke bevindingen kunnen wij u vragen om beschikbaar te zijn voor een korte technische verificatie. Wanneer een fix is uitgerold, ontvangt u daarvan bericht en bespreken wij een eventuele coordinated publicatie.
Niet elk geval is hetzelfde. Onderstaande situatieschets helpt u te beoordelen waar uw bevinding past binnen dit beleid en wat een redelijk vervolg is.
Meld het direct, ook buiten kantoortijden. Wij escaleren intern naar incident response.
Wij brengen de betrokken opdrachtgever vertrouwelijk op de hoogte en coördineren mee.
Bewaar of deel niets, vermeld het in uw melding. Wij beoordelen samen AVG-impact.
Stop direct, verzamel geen verdere data en meld het. Geen sanctie voor te-goeder-trouw.
Appfront heeft op dit moment geen actief bug-bountyplatform; wij accepteren directe meldingen.
Standaard geen cash-vergoeding; bij uitzonderlijke impact bespreken wij erkenning op maat.
Verzoeken doorverwijzen naar security@appfront.nl. Wij houden de communicatie gecoördineerd.
Klanten en auditors kunnen dit beleid aanhalen als bewijs voor vendor-onboarding.
Wij vermelden hier graag de naam of het pseudoniem van onderzoekers die ons hebben geholpen, zodra de eerste verantwoorde melding is afgehandeld en de melder publieke erkenning wenst.
U bepaalt zelf of uw bijdrage zichtbaar wordt en onder welke naam. Wij vermelden geen onderzoekers zonder hun expliciete toestemming en hanteren een minimumset informatie.
Bij meldingen die via een coördinerend instituut binnenkomen, zoals het NCSC of het DIVD, volgen wij hun erkennings- en communicatieprotocol en sluiten wij daarbij aan in onze publicatie.
Stuur uw melding naar security@appfront.nl. Wij behandelen elke serieuze melding vertrouwelijk en bevestigen ontvangst binnen vijf werkdagen. Voor versleutelde communicatie kunt u onze PGP-fingerprint opvragen via hetzelfde adres.
Appfront gebruikt cookies en vergelijkbare technieken voor een goede werking van de website, voor analyse en voor marketing. Je kiest zelf wat je toestaat. Lees meer in ons privacybeleid.
