Responsible Disclosure

Binnen bereik

De volgende AhaSend-systemen vallen binnen het bereik van beveiligingsonderzoek:

• Het AhaSend-platform (https://dash.ahasend.com)
• De AhaSend API (https://api.ahasend.com)
• De AhaSend-website (https://ahasend.com)

Hoewel AhaSend andere producten ontwikkelt, verzoeken wij alle beveiligingsonderzoekers uitsluitend kwetsbaarheidsrapporten in te dienen voor de genoemde productlijst. Wij zijn van plan ons bereik uit te breiden naarmate wij andere producten ontwikkelen.

Juridisch standpunt

Wij zullen geen juridische stappen ondernemen tegen personen die kwetsbaarheidsrapporten indienen bij het beveiligingsteam van AhaSend. Wij accepteren openlijk rapporten voor de momenteel vermelde producten. Wij stemmen ermee in geen juridische stappen te ondernemen tegen personen die:

• Systemen/onderzoek testen zonder AhaSend of haar klanten te schaden.
• Kwetsbaarheidstests uitvoeren binnen het bereik van ons kwetsbaarheidsoffenbaringsprogramma.
• Producten testen zonder klanten te beïnvloeden, of toestemming/instemming van klanten verkrijgen voordat zij kwetsbaarheidstests uitvoeren op hun apparaten/software, enz.
• Zich houden aan de wetgeving van hun eigen locatie en de locatie van AhaSend. Zo kan het overtreden van wetten die uitsluitend aanleiding zouden geven tot een claim van AhaSend (en niet een strafrechtelijke claim) aanvaardbaar zijn, aangezien AhaSend de activiteit (reverse engineering of het omzeilen van beschermende maatregelen) autoriseert om haar systeem te verbeteren.
• Afzien van het openbaar maken van kwetsbaarheidsdetails vóór het verstrijken van een onderling overeengekomen termijn.

Algemene voorwaarden

Door informatie in het kader en de context van dit beleid ("het rapport") in te dienen bij AhaSend:

• Verklaart u dat u te goeder trouw handelt en verbindt u zich ertoe de richtlijnen in dit beleid na te leven.
• Stemt u ermee in dat AhaSend het rapport mag gebruiken om haar software bij te werken en/of te verbeteren; en verleent u AhaSend een niet-exclusieve, eeuwigdurende, onherroepelijke, wereldwijde, royaltyvrije licentie, met het recht op sublicentieverlening aan de licentienemers en klanten van AhaSend, onder alle relevante intellectuele eigendomsrechten, om het rapport op welke wijze dan ook te gebruiken, publiceren en openbaar maken, en om producten of diensten van AhaSend en haar sublicentienemers die het rapport belichamen op welke wijze dan ook en via welk medium AhaSend ook kiest te tonen, uit te voeren, te kopiëren, te maken, te laten maken, te gebruiken, te verkopen en anderszins te beschikken, zonder verwijzing naar de bron. AhaSend heeft het recht het rapport voor elk doel te gebruiken zonder enige beperking of vergoeding van welke aard dan ook jegens u en/of uw vertegenwoordigers.

Voorkeur, prioritering en acceptatiecriteria

Wij zullen de volgende criteria gebruiken om inzendingen te prioriteren en te beoordelen.

Wat we graag van u zien

• Goed geschreven rapporten in het Engels
• Rapporten die proof-of-concept-code bevatten
• Rapporten die meer bevatten dan alleen crashdumps of andere geautomatiseerde tool-uitvoer
• Rapporten die beschrijven hoe u de bug heeft gevonden, de impact ervan en eventuele mogelijke oplossingen.

Wat u van ons kunt verwachten

• Een tijdige reactie op uw e-mail
• Na beoordeling sturen wij een verwachte tijdlijn en verbinden wij ons ertoe zo transparant mogelijk te zijn over de hersteltijdlijn, evenals over problemen of uitdagingen die deze kunnen verlengen.
• Een open dialoog om problemen te bespreken.
• Melding wanneer de kwetsbaarheid is gevalideerd en verholpen.