Bij Simbase hechten we veel waarde aan de beveiliging van onze systemen en de gegevens van onze klanten. We bieden wereldwijde IoT-connectiviteitsdiensten en begrijpen het cruciale belang van de beveiliging van ons intern ontwikkelde platform, waarop onze klanten vertrouwen om hun apparaten te beheren. We hebben een verantwoordelijk openbaarmakingsprogramma en een actief bug bounty-programma om beveiligingsonderzoekers te belonen die ons helpen kwetsbaarheden te identificeren en te verhelpen.
Onze verplichting
We controleren en verbeteren onze beveiligingsmaatregelen voortdurend om de integriteit en betrouwbaarheid van onze diensten te garanderen. Als je denkt dat je een kwetsbaarheid in de beveiliging van ons platform hebt gevonden, moedigen we je aan om ons discreet te informeren en we beloven alle legitieme meldingen snel en grondig te onderzoeken.
Een beveiligingslek melden
Als je een potentieel beveiligingsprobleem hebt ontdekt, deel het dan met ons door deze stappen te volgen:
Stuur je bevindingen naar security@simbase.com.
Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Complexe kwetsbaarheden vereisen mogelijk meer uitleg dan minder complexe.
Vertel ons vertrouwelijk over de kwetsbaarheid en deel deze niet met anderen totdat we de kans hebben gehad om er iets aan te doen.
Beveiligingsmelding: Onze contactinformatie voor beveiliging is gepubliceerd op simbase.com/.well-known/security.txt in overeenstemming met RFC 9116, die ook gebruikt kan worden om beveiligingsproblemen te rapporteren.
Onze belofte
We bevestigen de ontvangst van uw kwetsbaarheidsrapport binnen 32 uur.
We communiceren met u om de omvang van de kwetsbaarheid te begrijpen en werken met u samen om het probleem te valideren en op te lossen.
We behandelen je rapport strikt vertrouwelijk en delen je persoonlijke gegevens niet met derden zonder jouw toestemming.
We houden je op de hoogte van onze voortgang tijdens de onderzoeks- en oplossingsfasen.
We streven ernaar om geverifieerde kwetsbaarheden binnen een redelijk tijdsbestek te verhelpen en zullen zo snel mogelijk een update uitbrengen.
Bug Bounty-programma
Simbase beloont geldige en gekwalificeerde meldingen van beveiligingslekken via ons bug bounty-programma. We werken samen met beveiligingsonderzoekers wereldwijd om beveiligingsproblemen te identificeren en op te lossen. Geaccepteerde rapporten kunnen in aanmerking komen voor een geldelijke beloning en extra erkenning.
Toepassingsgebied
In reikwijdte
De volgende gebieden komen in aanmerking voor bug bounty beloningen:
simbase.nl en alle subdomeinen (met uitzondering van door derden gehoste services)
REST API eindpunten en verificatiemechanismen
Dashboard en accountbeheersystemen
Authenticatiesystemen (SSO, OAuth, API-sleutels, tokenvalidatie)
IoT-infrastructuur (communicatieprotocollen voor apparaten, netwerkbeveiliging, gegevensoverdracht)
Buiten bereik
De volgende kwesties zijn niet in aanmerking komen voor premiebeloningen:
Bevindingen van geautomatiseerde tools of scans zonder handmatige validatie
Toepassingen, diensten of apparaten van derden die samenwerken met ons platform
Kwetsbaarheden voor Denial of Service (DoS, DDoS)
Mobiele applicaties (tenzij expliciet opgenomen in een specifiek bounty-programma)
Aanvallen gericht op Simbase-klanten of eindgebruikers (niet onze systemen)
Snelheidsbeperkende bypass zonder aantoonbare impact
Ontbrekende HTTP-beveiligingsheaders zonder exploiteerbaar effect
Problemen met SPF-, DKIM- of DMARC-configuratie
Kwetsbaarheden voor injectie van inhoud zonder bevestigde uitbreekbaarheid
Problemen die fysieke toegang tot infrastructuur vereisen
Social engineering- of phishingaanvallen op medewerkers van Simbase
Geschiktheid
Om in aanmerking te komen voor beloningen voor bug bounty's, moet je:
Geen huidige of voormalige Simbase-medewerker zijnaannemer of consultant (in de afgelopen 6 maanden)
Niet gevestigd zijn in een rechtsgebied waar sancties van kracht zijn waar wettelijke beperkingen gelden
Ten minste 18 jaar oud zijn (of toestemming van de ouders en schriftelijke toestemming van een wettelijke voogd hebben)
Voldoe aan alle toepasselijke wetten in uw rechtsgebied
Wees de eerste verslaggever van de kwetsbaarheid (de premie gaat naar het eerste geldige rapport dat wordt ontvangen)
Volg dit beleid volledig, inclusief vertrouwelijkheidseisen
Beloningen
Kwalificerende rapporten over kwetsbaarheden ontvangen:
Beloningscriteria:
De kwetsbaarheid moet nog niet eerder zijn gemeld bij Simbase
De kwetsbaarheid moet een aantoonbare invloed op de beveiliging hebben
Het rapport moet voldoende details bevatten om het probleem te reproduceren
De onderzoeker moet dit beleid volledig volgen
Simbase behoudt zich het recht voor om de zwaarte en de beloning te bepalen
Ernstclassificatie (voor context):
Kritisch: Uitvoeren van code op afstand, omzeilen van verificatie, toegang tot gevoelige klantgegevens
Hoog: Privilege-escalatie, aanzienlijke gegevensblootstelling, IDOR met toegang tot gevoelige gegevens
Medium: Opgeslagen XSS, CSRF op gevoelige acties, openbaarmaking van informatie van interne systemen
Laag: Gereflecteerde XSS met beperkte impact, uitgebreide foutmeldingen, kleine informatielekken
Opmerking: Simbase behoudt zich het recht voor om beloningen aan te passen op basis van ernst en impact. Meldingen van lage of informatieve ernst kunnen erkenning krijgen zonder een bounty beloning.
Veilige haven
Beveiligingsonderzoekers die dit beleid te goeder trouw volgen, worden beschermd door onze safe harbor-bepaling:
We zullen geen juridische stappen ondernemen tegen u voor veiligheidsonderzoek uitgevoerd in overeenstemming met dit beleid
We beschouwen geautoriseerd onderzoek dat in overeenstemming is met dit beleid als rechtmatig onder de toepasselijke wettelijke statuten.
We vragen u om zich te onthouden van activiteiten die Simbase of onze klanten zouden kunnen schadenmet inbegrip van, maar niet beperkt tot:
Schending van privacy of onbevoegde toegang tot persoonlijke gegevens
Vernietiging of beschadiging van gegevens
Onderbreking of verslechtering van diensten
Overexploitatie van kwetsbaarheden die verder gaat dan nodig is om de impact aan te tonen
Openbaarmaking voordat we een redelijke kans hebben gehad om te herstellen (minimaal 90 dagen)
Simbase werkt graag samen met de beveiligingsgemeenschap om beveiligingsproblemen binnen onze services te vinden en op te lossen. Samen kunnen we ons gedeelde digitale ecosysteem veilig houden.
Neem contact op met
Voor rapporten over beveiligingskwetsbaarheden of vragen over dit beleid:
We waarderen uw verantwoordelijke openbaarmaking en uw bijdrage aan de veiligheid van het Simbase platform.
