Responsible Disclosure
Klantel hecht veel belang aan de beveiliging van zijn platform en de gegevens van zijn gebruikers. Als u een kwetsbaarheid ontdekt, stellen we het op prijs als u ons dat op een verantwoorde manier laat weten.
Meld een kwetsbaarheid
Stuur uw bevinding per e-mail naar security@klantel.be. Vermeld bij voorkeur:
- Een beschrijving van de kwetsbaarheid en de mogelijke impact
- Stappen om het probleem te reproduceren
- Betrokken URL of component
- Uw contactgegevens (optioneel)
Onze aanpak
- Wij bevestigen uw melding binnen 3 werkdagen.
- Wij beoordelen de kwetsbaarheid en informeren u over de ernst en de verwachte oplossingstermijn.
- Kritieke problemen worden binnen 7 dagen verholpen; minder kritieke binnen 30 dagen.
- Wij publiceren een melding in onze changelog zodra het probleem is opgelost, tenzij u anonimiteit wenst.
Spelregels
Wij vragen onderzoekers om:
- Geen gegevens in te zien of te wijzigen die niet van u zijn.
- Geen denial-of-service-aanvallen uit te voeren.
- Het probleem niet publiek te maken vóór wij het hebben opgelost.
- Enkel systemen te testen die u zelf beheert of waarvoor u uitdrukkelijk toestemming hebt.
Als u zich aan deze regels houdt, ondernemen wij geen juridische stappen tegen uw onderzoek. Wij bieden op dit moment geen bug-bounty-programma aan, maar erkennen uw bijdrage in onze changelog (indien gewenst).
Versleuteld melden
Voor gevoelige meldingen kunt u uw bericht versleutelen met onze PGP-sleutel. Stuur een verzoek naar security@klantel.be om onze publieke sleutel op te vragen.
Scope
In scope voor responsible disclosure:
klantel.been alle subdomeinen- Authenticatie & sessies (login, 2FA, wachtwoordreset)
- Multi-tenant isolatie (IDOR, cross-tenant datalek)
- Billing & Stripe-integratie
- API-endpoints & server actions
Buiten scope: sociale engineering, phishing, DDoS, kwetsbaarheden in derde-partijdiensten (Stripe, OVHcloud, Resend).