Responsible Disclosure Beleid

An English version of this policy can be found below.

Introductie

Bij FMO Solutions nemen we de veiligheid van onze systemen en de gegevens van onze klanten zeer serieus. Ziet u toch een beveiligingsprobleem? Dan vragen wij u dit verantwoord aan ons te melden, zodat we het samen snel en zorgvuldig kunnen oplossen.

Uitgangspunten

Bij FMO Solutions vinden wij de veiligheid van onze systemen en de bescherming van gegevens van onze klanten van groot belang. Hoe zorgvuldig wij ook omgaan met beveiliging, het is mogelijk dat er toch kwetsbaarheden aanwezig zijn.

Dit beleid is bedoeld voor ethische onderzoekers en betrokken gebruikers die ons willen helpen onze systemen veiliger te maken. Kwaadwillenden vallen nadrukkelijk buiten de reikwijdte van dit beleid.

Wat we van u vragen

Als u een kwetsbaarheid ontdekt, vragen wij u om:

  • Uw bevindingen te mailen naar info@fmo-solutions.nl. Wij nemen daarna contact met u op om samen een passende en veilige manier af te spreken om verdere details uit te wisselen.
  • Geen gebruik te maken van de kwetsbaarheid anders dan nodig is om het probleem aan te tonen. Download bijvoorbeeld geen meer gegevens dan strikt noodzakelijk en pas geen gegevens van anderen aan of verwijder deze niet.
  • Het probleem niet met anderen te delen voordat het is opgelost.
  • Geen aanvallen uit te voeren die schade veroorzaken, zoals fysieke aanvallen, social engineering, denial of service of spam.
  • Voldoende informatie te geven om het probleem te reproduceren. Denk hierbij aan het IP-adres of de URL van het getroffen systeem en een duidelijke beschrijving. Bij complexe kwetsbaarheden kan extra toelichting nodig zijn.

Wat wij beloven

Wanneer u een melding doet in lijn met dit beleid:

  • Ontvangt u binnen drie werkdagen een reactie met onze eerste evaluatie en een verwachte termijn voor oplossing.
  • Zullen wij geen juridische stappen ondernemen met betrekking tot uw melding.
  • Behandelen wij uw melding vertrouwelijk en delen wij uw persoonsgegevens niet zonder uw toestemming.
  • Houden wij u op de hoogte van de voortgang van de oplossing.
  • Vermelden wij, indien gewenst, uw naam als ontdekker in onze communicatie over het probleem. U kunt ook anoniem blijven.
  • Ontvangt u als blijk van dank een beloning voor iedere melding van een beveiligingsprobleem dat bij ons nog niet bekend was. De hoogte van de beloning hangt af van de ernst en de kwaliteit van de melding. De minimale beloning is een cadeaubon van € 50.

Buiten scope

Om misverstanden te voorkomen vallen de volgende zaken buiten de scope van dit beleid:

  • Social engineering (bijvoorbeeld phishing of het misleiden van medewerkers)
  • Fysieke aanvallen op gebouwen of apparatuur
  • Denial of service aanvallen
  • Automatische of grootschalige scans die de beschikbaarheid van systemen verstoren

Ons doel

Wij streven ernaar alle problemen zo snel mogelijk op te lossen. Wij waarderen de samenwerking met onderzoekers en gebruikers en willen een actieve rol spelen in de uiteindelijke publicatie van bevindingen, zodra het probleem is verholpen.

Responsible Disclosure Policy

Introduction

At FMO Solutions, we take the security of our systems and the data of our customers very seriously. If you discover a security issue, we kindly ask you to report it to us responsibly so that we can resolve it quickly and carefully together.

Principles

The security of our systems and the protection of our customers’ data are of great importance to us. Despite our efforts, vulnerabilities may still exist.

This policy is intended for ethical researchers and responsible users who want to help us improve the security of our systems. Malicious actors are explicitly outside the scope of this policy.

What we ask from you

If you discover a vulnerability, we ask you to:

  • Send your findings by email to info@fmo-solutions.nl. We will then contact you to agree on a safe and appropriate way to share further details.
  • Not exploit the vulnerability beyond what is necessary to demonstrate the issue. For example, do not download more data than strictly required and do not modify or delete data belonging to others.
  • Not share the problem with others until it has been resolved.
  • Not carry out attacks that cause damage, such as physical attacks, social engineering, denial of service, or spam.
  • Provide sufficient information to reproduce the problem. This usually includes the IP address or URL of the affected system and a clear description. For complex vulnerabilities, additional explanation may be necessary.

What we promise

When you report a vulnerability in line with this policy:

  • You will receive a response within three business days with our initial evaluation and an expected timeline for resolution.
  • We will not take legal action against you in relation to your report.
  • We will treat your report confidentially and will not share your personal details without your permission.
  • We will keep you informed of the progress in resolving the issue.
  • We will mention your name as the discoverer in our communications about the issue, unless you prefer to remain anonymous.
  • You will receive a reward for every report of a security problem that was not yet known to us. The reward depends on the severity of the issue and the quality of the report. The minimum reward is a €50 gift voucher.

Out of scope

To avoid misunderstandings, the following are considered out of scope:

  • Social engineering (e.g., phishing or misleading employees)
  • Physical attacks on buildings or equipment
  • Denial of service attacks
  • Automated or large-scale scans that disrupt the availability of systems

Our goal

We aim to resolve all issues as quickly as possible. We greatly value collaboration with researchers and users and want to play an active role in the eventual publication of findings once the issue has been resolved.