Land en taal selecteren

Vulnerability Disclosure Policy

BORA Vertriebs GmbH & Co KG heeft klanten hoog in het vaandel staan en wil hen producten/diensten met de hoogste kwaliteit en betrouwbaarheid bieden. Met dit doel controleren wij elk gemelde beveiligingsprobleem dat externe experts, partners of klanten hebben vastgesteld.

 

De onderstaande richtlijn geldt voor alle beveiligingslekken die u bij ons wilt melden. Wij raden u aan deze richtlijn volledig te lezen en naar de bepalingen te handelen. Zo kan worden gegarandeerd dat beveiligingslekken als zodanig kunnen worden geïdentificeerd en behandeld. BORA Vertriebs GmbH & Co KG stelt de tijd en moeite die worden genomen voor het melden van beveiligingslekken op prijs. Wij wijzen er echter op dat BORA Vertriebs GmbH & Co KG geen geldelijke vergoeding biedt voor het melden van beveiligingslekken.

 

Indien u denkt een beveiligingslek te hebben gevonden, maak dan een melding bij ons via de volgende link of via e-mail met de volgende informatie:

 

  • URL of IP waar de kwetsbaarheid te vinden is.
  • Een korte omschrijving van de aard van het beveiligingslek (bijvoorbeeld: "XSS-lek").
  • Stappen voor reproductie. Daarbij moet het gaan om een goedaardige, niet destructieve proof of concept. Dit zorgt ervoor dat de melding snel en nauwkeurig kan worden behandeld. Ook verkleint het de kans op dubbele meldingen of misbruik van kwetsbaarheden, zoals de overname van subdomeinen.

 

Na het indienen van uw melding beginnen bij met het bestuderen en oplossen van de gemelde tekortkoming/beveiligingslek. Wij doen ons best om binnen 10 werkdagen op uw melding te reageren en hem binnen 14 werkdagen in behandeling te nemen. We zullen u ook op de hoogte houden van onze voortgang. De prioriteit van de oplossingsmaatregelen wordt bepaald aan de hand van de gevolgen, de ernst en de complexiteit van de kwetsbaarheid. Als teken van erkentelijkheid zullen wij ontdekkers, met hun toestemming, noemen op onze bedankpagina.

Richtlijnen

Het is niet toegestaan:

  • in strijd met geldende wetten of voorschriften te handelen.
  • zich toegang te verschaffen tot onnodige, overmatige of aanzienlijke datavolumes.
  • data in de systemen of diensten van de organisatie te wijzigen.
  • invasieve of destructieve scan-tools met hoge intensiteit te gebruiken om kwetsbaarheden te vinden.
  • Denial of Service-pogingen of -meldingen in welke vorm dan ook uit te voeren, bijvoorbeeld een dienst overbelasten met een groot aantal aanvragen.
  • diensten of systemen van de organisatie te verstoren.
  • meldingen in te dienen waarin niet-nuttige kwetsbaarheden zijn opgevoerd, of meldingen die erop wijzen dat de diensten niet volledig volgens de "best practices" zijn opgesteld, bijvoorbeeld missende security headers.
  • meldingen over kwetsbaarheden in de TLS-configuratie te maken, bijvoorbeeld ondersteuning van een "zwakke" cipher suite of het feit dat er TLS1.0-ondersteuning is.
  • kwetsbaarheden of hieraan verwante details op een andere wijze te delen dan in de gepubliceerde security.txt beschreven staat.
  • social engineering, phishing of fysieke aanvallen op het personeel of de infrastructuur van de organisatie uit te voeren.
  • een financiële compensatie te eisen voor het openbaren van kwetsbaarheden.

 

Het is verplicht:

  • zich aan de privacybepalingen te houden en de privacy van de gebruikers, medewerkers, contractanten, diensten en systemen van de organisatie niet te schenden. U mag bijvoorbeeld geen uit de systemen of diensten verkregen data delen, verspreiden of anders dan voorgeschreven opslaan.
  • alle data die u in het kader van uw onderzoek heeft verzameld veilig te wissen zodra deze niet meer nodig zijn of binnen een maand na het oplossen van de kwetsbaarheid, al naargelang wat het eerst plaatsvindt (of wat de privacywetgeving voorschrijft).
Juridisch

Deze richtlijn is zo opgesteld, dat ontdekkers die de aanwijzingen volgen niet strafrechtelijk vervolgd zullen worden.

Kwetsbaarheden melden

Mocht u een kwetsbaarheid ontdekken in IT-systemen of webapplicaties van BORA Vertriebs GmbH & Co KG of producten die BORA Vertriebs GmbH & Co KG verkoopt, dan vragen wij u om ons daarover te informeren. Wij treffen dan direct maatregelen om de gevonden kwetsbaarheid zo snel mogelijk te verhelpen.

 

Ga bij uw melding als volgt te werk:

  • Stel uzelf van tevoren op de hoogte van gevallen waarin onze Vulnerability Disclosure Policy niet geldt en die dus niet in het kader hiervan behandeld worden.
  • Stuur uw bevindingen bij dit beveiligingsprobleem per e-mail naar security@bora.com.
  • Maak geen misbruik van de kwetsbaarheid of het probleem door bijvorbeeld gegevens te downloaden, wijzigen of wissen of door code te uploaden.
  • Deel de gegevens over de kwetsbaarheid niet met derden of instellingen, tenzij dit expliciet door BORA Vertriebs GmbH & Co KG wordt toegestaan.
  • Voer geen aanvallen op onze IT-systemen uit die infrastructuur en personen ondermijnen, veranderen of manipuleren.
  • Voer geen social engineering (bijvoorbeeld phishing), (Distributed) Denial of Service-, spam- of andere aanvallen op BORA Vertriebs GmbH & Co KG uit.
  • Lever voldoende informatie bij ons aan om het probleem te kunnen reproduceren en analyseren. Geef een contactmogelijkheid door voor mogelijke wedervragen.
We staan voor u klaar!
Innstrasse 1
6342 Niederndorf
Oostenrijk
+49 8035 9840 0
00800 7890 0987 UIFN*
support@bora.com

*UIFN - Universal International Freephone Number

Winkel
Producten
Service
instagramyoutubeblackpinterestlinkedinfacebook
Colofon Privacyverklaring Vulnerability Disclosure Policy Whistleblower system Cookie-instellingen

© Copyright 2025 BORA Vertriebs GmbH & Co KG