Nieuw
We zoeken een fullstack developer!

Amsterdam • Join ons team van ervaren developers

Bekijk vacature
Appfront logo
Over ons
Diensten
Ons werk
Blog
Werken bij
 
Contact

Coordinated Vulnerability Disclosure (CVD) Beleid

Richtlijnen voor het verantwoordelijk melden van beveiligingskwetsbaarheden

Organisatie: Appfront Document type: Beveiligingsbeleid Versie: 1.0 Datum: 2025

Inhoudsopgave

1. Inleiding

Bij Appfront vinden we digitale veiligheid van groot belang. Met dit beleid maken wij duidelijk hoe u (bijvoorbeeld een beveiligingsonderzoeker of 'white-hat hacker') op een verantwoorde manier een mogelijke kwetsbaarheid kunt melden.

Wat is een kwetsbaarheid?

Een kwetsbaarheid is een zwakke plek of fout in onze software of systemen die misbruikt kan worden door onbevoegden.

Door samen te werken met melders (onderzoekers die fouten en lekken vinden) verbeteren we de beveiliging van onze diensten. We moedigen u aan gevonden problemen zo snel mogelijk en vertrouwelijk bij ons te melden.

CVD staat voor Coordinated Vulnerability Disclosure, oftewel gecoördineerd melden van kwetsbaarheden. In dit beleid leggen we uit wat binnen de scope van Appfront valt, welke onderzoeksmethoden zijn toegestaan en hoe wij omgaan met uw melding.

Dit beleid heeft als doel een veilige en transparante manier te bieden voor beveiligingsonderzoekers om kwetsbaarheden te rapporteren, zodat we samen kunnen werken aan het verbeteren van de digitale veiligheid.

2. Spelregels voor het melden van kwetsbaarheden

Wij hebben duidelijke regels opgesteld voor het zoeken en melden van kwetsbaarheden. Deze regels zorgen dat u weet wat wél en níet is toegestaan.

2.1 Binnen scope

Dit beleid geldt voor alle websites, webapplicaties, mobiele apps en (cliënt)systemen van Appfront die openbaar toegankelijk zijn. Het gaat om onze productieomgevingen en -diensten. Specifiek vallen de volgende systemen binnen de scope van dit beleid:

  • Alle officiële websites van Appfront die publiek toegankelijk zijn
  • Webapplicaties die gebruikt worden door klanten en eindgebruikers
  • Mobiele applicaties die beschikbaar zijn via app stores
  • API's en webservices die publiek toegankelijk zijn
  • Cliëntsystemen die onderdeel uitmaken van onze dienstverlening
  • Productieomgevingen waarin onze diensten operationeel zijn

2.2 Buiten scope

De volgende systemen en activiteiten vallen expliciet buiten de scope van dit beleid:

  • Onderzoeksomgevingen zoals test-, ontwikkel- of stagingversies van onze systemen
  • Netwerken en systemen van externe partijen zoals hostingproviders of internetserviceproviders
  • Koppelingen met organisaties van derden
  • Systemen van klanten, partners of andere externe partijen
  • Niet-openbaar toegankelijke onderdelen van onze infrastructuur
  • Interne netwerken en systemen die niet publiek toegankelijk zijn
  • Sociale engineering, waaronder het benaderen van medewerkers om informatie los te krijgen
  • Fysieke beveiligingstests van onze kantoren of faciliteiten
Belangrijk

Onderzoek naar systemen die buiten de scope vallen, kan juridische consequenties hebben en wordt niet gedekt door dit beleid.

2.3 Toegestane onderzoeksmethoden

U kunt de volgende methoden gebruiken om kwetsbaarheden te onderzoeken:

  • Geautomatiseerde beveiligingsscans en penetratietests, mits uitgevoerd met mate
  • Code-analyse van publiek beschikbare broncode
  • Handmatige tests en verificatie van beveiligingscontroles
  • Het uitvoeren van voorzichtige en stapsgewijze testacties
  • Het gebruik van alleen strikt noodzakelijke handelingen om een kwetsbaarheid aan te tonen
  • Tijdelijk benaderen van webpagina's voor testdoeleinden
  • Het aanmaken en gebruiken van aparte testaccounts waar mogelijk
  • Het testen van authenticatie- en autorisatiemechanismen

Bij al deze activiteiten geldt dat u voorzichtig moet handelen en onze servers en diensten niet onnodig mag belasten. Voer tests geleidelijk uit en vermijd acties die tot verstoring van de dienstverlening kunnen leiden.

2.4 Verboden handelingen

De volgende handelingen zijn ten strengste verboden:

  • Het uitvoeren van Denial-of-Service (DoS) of Distributed Denial-of-Service (DDoS) aanvallen
  • Het verspreiden, installeren of uitvoeren van malware, virussen of andere schadelijke software
  • Het ontgrendelen, toegang verkrijgen tot, of het downloaden van accountgegevens van andere gebruikers
  • Het inzien, kopiëren, wijzigen of verwijderen van privacygevoelige data van derden
  • Het veroorzaken van langdurige verstoringen van onze dienstverlening
  • Het publiceren van kwetsbaarheden voordat wij een oplossing hebben uitgerold
  • Het delen van kwetsbaarheidsinformatie via sociale media, blogs, forums of andere publieke kanalen
  • Het uitvoeren van brute-force aanvallen op inlogformulieren
  • Het proberen toegang te verkrijgen tot systemen of data waar u geen toestemming voor heeft
  • Elke handeling die in strijd is met de Nederlandse wet- en regelgeving
Goed om te weten

Als u zich aan deze regels houdt, beschouwen wij u als een betrouwbare melder. We gaan ervan uit dat u in goed vertrouwen handelt. Houd er rekening mee dat Appfront zich het recht voorbehoudt om maatregelen te nemen als deze regels niet worden nageleefd.

3. Hoe kunt u kwetsbaarheden melden?

U kunt kwetsbaarheden via de volgende kanalen bij ons melden. Wij hanteren een gestructureerd proces om ervoor te zorgen dat uw melding snel en adequaat wordt behandeld.

3.1 Meldingskanalen

Per e-mail

Stuur een bericht naar info@appfront.nl. Gebruik in het onderwerp bijvoorbeeld "Beveiligingsmelding – [kort onderwerp]". Dit helpt ons uw melding snel te identificeren en te prioriteren.

Via contactformulier

Gebruik het contactformulier op onze website. Kies daar duidelijk dat het om een beveiligingsmelding gaat en verstrek dezelfde informatie als bij e-mail.

Contact informatie

E-mail: info@appfront.nl

Onderwerp: "Beveiligingsmelding – [beschrijving]"

3.2 Wat te vermelden in uw melding

Om uw melding zo effectief mogelijk te laten verlopen, verzoeken wij u de volgende informatie op te nemen:

  1. Uw contactgegevens - Zodat wij u kunnen bereiken voor vragen of updates. U kunt zelf kiezen of u anoniem meldt of uw naam wilt delen.
  2. Beschrijving van de kwetsbaarheid - Beschrijf zo duidelijk mogelijk welke fout u heeft gevonden en wat de mogelijke impact ervan is.
  3. Locatie van het probleem - Vermeld de specifieke URL, applicatie, of onderdeel waar de kwetsbaarheid zich bevindt.
  4. Reproductie-instructies - Leg stap voor stap uit hoe wij de kwetsbaarheid kunnen reproduceren.
  5. Bewijs van concept - Indien mogelijk, voeg screenshots, video's of andere bewijsmateriaal toe (zonder gevoelige data).
  6. Ernst en impact - Uw inschatting van de ernst van de kwetsbaarheid en mogelijke gevolgen.
  7. Gebruikte tools of methoden - Informatie over hoe u de kwetsbaarheid heeft ontdekt.
Belangrijke waarschuwing

Zorg ervoor dat u géén gevoelige of vertrouwelijke gegevens (zoals persoonsgegevens van anderen, wachtwoorden, of volledige database-dumps) meestuurt. Verstrek alleen de informatie die nodig is om de kwetsbaarheid aan te tonen.

3.3 Vertrouwelijkheid en privacy

Appfront behandelt uw melding uiteraard vertrouwelijk. Wij gaan zorgvuldig om met de informatie die u met ons deelt en zullen deze niet delen met derden, behalve wanneer dit noodzakelijk is voor het oplossen van de kwetsbaarheid of wanneer wij hiertoe wettelijk verplicht zijn.

Indien u kiest voor anoniem melden, respecteren wij deze keuze volledig. Houd er echter rekening mee dat anonieme meldingen soms lastiger te verifiëren en op te volgen zijn.

4. Behandeling van meldingen

Na ontvangst van uw melding volgen wij een gestructureerd proces om ervoor te zorgen dat de kwetsbaarheid snel en adequaat wordt opgelost. Wij streven naar transparante communicatie gedurende het gehele proces.

4.1 Ontvangstbevestiging

Wij streven ernaar uw melding binnen twee werkdagen te bevestigen. U ontvangt dan per e-mail een ontvangstbevestiging met een uniek referentienummer, zodat u later naar uw melding kunt verwijzen. In deze bevestiging geven wij ook een eerste indicatie van de vervolgstappen.

Mocht u binnen twee werkdagen geen ontvangstbevestiging hebben ontvangen, verzoeken wij u contact met ons op te nemen om te controleren of uw melding bij ons is aangekomen.

4.2 Eerste beoordeling en triage

Na de ontvangstbevestiging beoordeelt ons beveiligingsteam uw melding. Tijdens deze fase:

  • Verifiëren wij of de gemelde kwetsbaarheid daadwerkelijk bestaat
  • Bepalen wij de ernst en impact van de kwetsbaarheid
  • Classificeren wij de kwetsbaarheid volgens geaccepteerde standaarden (zoals CVSS)
  • Beslissen wij over de prioriteit en planning van de oplossing

Deze beoordeling wordt normaal gesproken binnen één week na ontvangst afgerond. Bij complexe meldingen kan dit langer duren.

4.3 Ontwikkeling en implementatie van oplossingen

Vervolgens starten we met het ontwikkelen van een oplossing of update. De doorlooptijd is afhankelijk van verschillende factoren:

  • Softwarekwetsbaarheden: Wij streven ernaar deze binnen ongeveer 60 dagen te verhelpen
  • Complexere problemen: Architecturele wijzigingen of fundamentele aanpassingen kunnen meer tijd vergen
  • Hardwarekwetsbaarheden: Deze kunnen aanzienlijk meer tijd kosten door de complexiteit van hardware-updates
  • Kritieke kwetsbaarheden: Deze krijgen de hoogste prioriteit en worden zo snel mogelijk opgelost

Tijdens het ontwikkelproces houden we u regelmatig op de hoogte van de voortgang. Wij streven ernaar minstens elke twee weken een update te geven over de status van de oplossing.

4.4 Testing en verificatie

Voordat wij een oplossing uitrollen, testen wij deze grondig om ervoor te zorgen dat:

  • De kwetsbaarheid daadwerkelijk is opgelost
  • Er geen nieuwe kwetsbaarheden zijn geïntroduceerd
  • De functionaliteit van onze systemen niet wordt aangetast
  • De oplossing voldoet aan onze kwaliteitsnormen

4.5 Implementatie en monitoring

Na succesvolle testing wordt de oplossing geïmplementeerd in onze productieomgeving. Wij monitoren de systemen na implementatie om ervoor te zorgen dat alles naar verwachting functioneert.

4.6 Communicatie en openbaarmaking

Zodra een oplossing is geïmplementeerd en geverifieerd, plannen we – in goed overleg met u – de publieke bekendmaking van de kwetsbaarheid. Belangrijke principes hierbij zijn:

  • Publicatie gebeurt alleen nadat het probleem is opgelost
  • Wij stemmen de timing af met u als melder
  • U krijgt de gelegenheid om input te geven op de publieke communicatie
  • Wij informeren u voordat we details naar buiten brengen
  • Technische details worden alleen gedeeld voor zover noodzakelijk voor transparantie

In sommige gevallen kan het noodzakelijk zijn om externe partijen zoals het Nationaal Cyber Security Centrum (NCSC) te informeren, bijvoorbeeld bij kwetsbaarheden die meerdere organisaties raken of onderdeel uitmaken van de vitale infrastructuur.

5. Erkenning en beloning voor melders

Appfront waardeert de hulp van beveiligingsonderzoekers enorm. Zonder de inzet van de security community zouden veel kwetsbaarheden onontdekt blijven. Als u zich heeft gehouden aan ons beleid en een geldige kwetsbaarheid heeft gemeld, erkennen wij graag uw bijdrage op verschillende manieren.

5.1 Erkenning

Wij bedanken u persoonlijk voor uw melding. Daarnaast bieden wij de volgende vormen van erkenning:

  • Naamsvermelding: Met uw toestemming vermelden wij uw naam (of nickname) als dank op onze website of in een publiek verslag
  • Hall of Fame: Opname in onze beveiligingsonderzoeker hall of fame (indien aanwezig)
  • Digitale certificaten: In sommige gevallen ontvangt u van ons een digitale oorkonde of certificaat
  • Nieuwsbrief vermelding: Vermelding in onze nieuwsbrief of andere communicatie-uitingen
  • Sociale media: Erkenning via onze sociale media kanalen (met uw toestemming)

De vorm van erkenning is altijd afhankelijk van uw voorkeur. Wij respecteren volledig als u liever anoniem wilt blijven.

5.2 Beloning

Afhankelijk van de ernst en kwaliteit van de gevonden kwetsbaarheid kunnen wij een materieel blijk van waardering bieden. Dit kan verschillende vormen aannemen:

  • Cadeaubonnen: Voor kleinere kwetsbaarheden of als blijk van waardering
  • Geldelijke beloning: Voor significante kwetsbaarheden die een belangrijke impact hebben op onze beveiliging
  • Merchandise: Appfront-gerelateerde items als aandenken
  • Training of conferentietickets: Toegang tot relevante beveiligingsconferenties of trainingen

De hoogte en vorm van de beloning wordt bepaald door verschillende factoren:

  • Ernst van de kwetsbaarheid (volgens CVSS-score of vergelijkbare classificatie)
  • Kwaliteit van de melding en documentatie
  • Originaliteit van de ontdekking
  • Potentiële impact op onze organisatie en gebruikers
  • Complexiteit van de kwetsbaarheid

De hoogte hiervan wordt altijd in overleg met u bepaald. Wij streven naar eerlijkheid en transparantie in ons beloningssysteem.

5.3 Lange termijn samenwerking

Door op deze manier erkenning en (indien van toepassing) een beloning te geven, hopen we een constructieve en langdurige relatie met beveiligingsonderzoekers op te bouwen. Wij geloven dat continue samenwerking met de security community essentieel is voor het handhaven van een hoog beveiligingsniveau.

Ervaren onderzoekers die regelmatig kwalitatieve meldingen doen, kunnen uitgenodigd worden voor:

  • Exclusieve preview-sessies van nieuwe functionaliteiten
  • Deelname aan beveiligingsadviesgroepen
  • Directe communicatielijnen met ons beveiligingsteam

6. Gedragscode en aansprakelijkheid

Wij stellen het op prijs dat u integer handelt tijdens uw onderzoek. Deze sectie beschrijft de wederzijdse verwachtingen en verantwoordelijkheden tussen Appfront en beveiligingsonderzoekers.

6.1 Richtlijnen voor melders

Als melder gaat u akkoord met de volgende richtlijnen en verplicht u zich deze na te leven:

  • U onderzoekt alleen systemen die expliciet binnen de scope van dit CVD-beleid vallen
  • U meldt de kwetsbaarheid direct bij Appfront en maakt deze niet zelf openbaar via andere kanalen
  • U probeert geen persoonsgegevens of andere vertrouwelijke data van derden in te zien, te downloaden of te wijzigen
  • U veroorzaakt geen verstoringen van onze dienstverlening door ongeoorloofde inlogpogingen, DDoS-aanvallen of andere disruptieve activiteiten
  • U houdt zich te allen tijde aan de Nederlandse wet- en regelgeving
  • U respecteert de privacy van onze gebruikers en medewerkers
  • U gebruikt alleen de minimaal benodigde acties om een kwetsbaarheid aan te tonen
  • U documenteert uw bevindingen zorgvuldig en deelt relevante informatie met ons team

6.2 Aansprakelijkheid en juridische bescherming

Beperking van aansprakelijkheid: Appfront kan niet aansprakelijk worden gesteld voor eventuele schade die tijdens uw onderzoek ontstaat, ook niet als u volledig volgens dit beleid heeft gehandeld. Dit geldt onder andere voor:

  • Schade aan uw eigen apparatuur of software
  • Tijdverlies of andere indirecte schade
  • Gevolgen van het uitvoeren van beveiligingstests
  • Eventuele juridische gevolgen bij derden

Juridische bescherming: Zolang u zich houdt aan de regels en richtlijnen in dit beleid, zullen wij in de regel geen juridische stappen tegen u ondernemen. Deze bescherming geldt echter alleen voor activiteiten die:

  • Volledig binnen de scope van dit beleid vallen
  • Uitgevoerd worden in goed vertrouwen
  • Niet resulteren in schade aan onze systemen of gebruikers
  • Niet in strijd zijn met de Nederlandse wet

6.3 Maatregelen bij misbruik

Wij behouden ons het recht voor om bij misbruik of illegale acties wél maatregelen te nemen. Voorbeelden van gedrag dat kan leiden tot juridische stappen zijn:

  • Het bewust veroorzaken van schade aan onze systemen
  • Het inzien of stelen van persoonsgegevens
  • Het publiceren van kwetsbaarheden voordat deze zijn opgelost
  • Het gebruik van ontdekte kwetsbaarheden voor criminele doeleinden
  • Het niet respecteren van de scope-beperkingen
  • Het negeren van onze verzoeken om te stoppen met bepaalde activiteiten

6.4 Samenwerking met externe partijen

In bepaalde gevallen kan het noodzakelijk zijn om externe partijen in te schakelen:

  • Vitale infrastructuur: Bij kwetsbaarheden in (een deel van) de vitale infrastructuur
  • Meerdere organisaties: Als het probleem bij meerdere organisaties speelt
  • Nationale veiligheid: Bij kwetsbaarheden die de nationale veiligheid kunnen raken
  • Wettelijke verplichtingen: Wanneer wij wettelijk verplicht zijn om bepaalde instanties te informeren

In zulke situaties kunnen wij samenwerken met organisaties zoals het Nationaal Cyber Security Centrum (NCSC). U kunt in dergelijke situaties ook zelf contact opnemen met het NCSC voor advies of ondersteuning.

NCSC Contact

Voor complexe situaties of kwetsbaarheden die nationale impact kunnen hebben:

Website: www.ncsc.nl

6.5 Wijzigingen in dit beleid

Appfront behoudt zich het recht voor om dit beleid te wijzigen. Wijzigingen worden aangekondigd via onze website. Wij adviseren u om dit beleid regelmatig te raadplegen voor eventuele updates.

Bij significante wijzigingen zullen wij een redelijke overgangsperiode hanteren waarin zowel de oude als nieuwe versie van het beleid geldig zijn.

6.6 Geschillenregeling

Mochten er geschillen ontstaan over de interpretatie of toepassing van dit beleid, dan gaat de voorkeur uit naar een oplossing in goed overleg. Voor geschillen die niet in onderling overleg kunnen worden opgelost, is Nederlands recht van toepassing en zijn de Nederlandse rechters bevoegd.

Wij hopen dat dit CVD-beleid de drempel verlaagt om beveiligingsproblemen bij Appfront te melden, zodat we samen kunnen werken aan een veilige digitale omgeving.

Mocht u vragen hebben over dit beleid of over het melden van kwetsbaarheden, neem dan gerust contact op via info@appfront.nl. Ons team staat klaar om u te helpen en eventuele onduidelijkheden weg te nemen.

© 2025 Appfront. Dit document is onderdeel van ons beveiligingsbeleid en wordt regelmatig geactualiseerd.

Voor vragen over dit beleid: info@appfront.nl

Links
Home
Over ons
Ons werk
Diensten
Blog
Werken bij
Branches
Contact
Appfront
info@appfront.nl
+31 6 4080 2293
Westerdoksdijk 599
1013 BX
Amsterdam
Jouw partner bij het ontwikkelen van slimme digitale oplossingen
Appfront logo wit
Workshop AI Over Ons Diensten Ons Werk Appfront Blog Werken Bij Contact App Laten Maken Blog GPT-4o Blog UX Design Trends Blog Hackathon AI Blog Fabian Stagiair Blog App Ontwikkelaar Amsterdam App Ontwikkelaar Haarlem React Native Transpas Integratie App Laten Maken App Ontwikkelaar Amsterdam Service Beste App Ontwikkelaar Webapp Laten Maken API Integraties AI IoT Oplossingen Exact Online Koppeling AI Chatbot Webapp Ontwikkelen Amsterdam Mobile App Ontwikkelaar Native app Ontwikkelaar Community app ontwikkelaar Loyalty app ontwikkelaar Loyalty app ontwikkelaar Loyalty app ontwikkelaar Loyalty app ontwikkelaar Loyalty app ontwikkelaar Loyalty app ontwikkelaar CMS website Ontwikkelaar Facturatie app Ontwikkelaar Workflow app Ontwikkelaar Webshop Ontwikkelaar ledenportaal Ontwikkelaar Voorraadbeheer webapp Ontwikkelaar klantportaal Ontwikkelaar Webflow Ontwikkelaar Maatwerk applicatie Ontwikkelaar Software Ontwikkelaar Webapp Ontwikkelaar Middleware Ontwikkelaar Salesforce Ontwikkelaar Unit4 Ontwikkelaar Navision Ontwikkelaar RDW Ontwikkelaar Mollie Ontwikkelaar Picqer Ontwikkelaar Twinfield Ontwikkelaar Transfollow Ontwikkelaar Topdesk Ontwikkelaar Bouw7 Ontwikkelaar Postnl API Ontwikkelaar Bolcom Ontwikkelaar Salesforce Ontwikkelaar Transfollow Ontwikkelaar Afas Ontwikkelaar Shopify Ontwikkelaar MyParcel Ontwikkelaar Lightspeed Ontwikkelaar CVD Beleid Informatiebeveiliging Transport logistiek AI in logistiek eCMR integratie Fleet tracking dashboard Transport planning API PropTech Educatie Overheid FinTech Zorg Recruitment Media Event Toerisme HR Notaris Haven Software NGO Culturele Instellingen Museum collectie managment software Bezoekersapp audiotour Ticketing reserveringsplatform E-commerce Verzekeringen Horeca MVP Development GVB Project De Haas Road Cargo Mier App Full Stack Developer Vacature Business Development Manager Open Sollicitatie AI Specialist Amsterdam Applicatie Developer Amsterdam Amsterdam Locatie Software Developer Hoofddorp Applicatie Developer Hoofddorp Software Developer Amstelveen Applicatie Developer Amstelveen Applicatie Developer Haarlem Applicatie Developer Utrecht Software Developer Utrecht App Ontwikkelaar Aalsmeer App Ontwikkelaar Rotterdam App Ontwikkelaar Amsterdam Centrum App Ontwikkelaar Alkmaar App Ontwikkelaar Diemen App Ontwikkelaar Hilversum App Ontwikkelaar Amersfoort App Ontwikkelaar Haarlemmermeer MoSCoW model tool Onze Partners
/