Voor 15:00 besteld → vandaag verzonden

Responsible disclosure

Meld beveiligingskwetsbaarheden verantwoord bij Astro & Liv Pupshop.

Bij Astro & Liv Pupshop vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een kwetsbaarheid aanwezig is.

Als je een kwetsbaarheid in één van onze systemen hebt gevonden, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met je samenwerken om onze klanten en systemen beter te beschermen. Dit beleid is gebaseerd op de NCSC Leidraad Coordinated Vulnerability Disclosure.

Reports in English are also welcome.

Scope

Dit beleid is van toepassing op de volgende systemen:

  • pupshop.nl en gerelateerde subdomeinen van de webshop
  • Onze eigen API’s en checkout-flow

Systemen van derden (hostingpartijen, betaalproviders zoals Mollie, externe SaaS-tools) vallen buiten de scope van dit beleid. Meld kwetsbaarheden in diensten van derden rechtstreeks bij de betreffende partij.

Wij vragen je

  • Stuur je bevindingen naar info@pupshop.nl. Versleutel je e-mail met onze PGP-sleutel (vingerafdruk: 6E32 7D86 4FAD 4000 8035 CF05 F91E 8BEA E9EB 7042, geldig t/m 28 mei 2028) om te voorkomen dat gevoelige informatie in verkeerde handen valt.
  • Maak geen misbruik van de kwetsbaarheid. Download niet meer data dan nodig is om het probleem aan te tonen en bekijk, verwijder of wijzig geen gegevens van derden.
  • Deel het probleem niet met anderen totdat het is opgelost en verwijder alle vertrouwelijke gegevens die via de kwetsbaarheid zijn verkregen direct na het dichten ervan.
  • Gebruik geen aanvallen op fysieke beveiliging, social engineering, DDoS, spam of applicaties van derden.
  • Geef voldoende informatie om het probleem te reproduceren. Meestal zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende; bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven

  • Wij reageren binnen 5 werkdagen op je melding met onze beoordeling en een verwachte datum voor een oplossing.
  • Wij streven ernaar kwetsbaarheden binnen 90 dagen op te lossen. Bij complexe problemen overleggen wij met jou over een langere termijn.
  • Als je je aan bovenstaande voorwaarden hebt gehouden, ondernemen wij geen juridische stappen naar aanleiding van de melding.
  • Wij behandelen je melding vertrouwelijk en delen je persoonsgegevens niet zonder jouw toestemming met derden, tenzij wettelijk verplicht. Melden onder een pseudoniem is mogelijk.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem vermelden wij, als je dat wilt, jouw naam als ontdekker.
  • Wij streven ernaar alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is verholpen.

Meer info

Onze machine-leesbare contactgegevens staan in security.txt.