Versie 1.0

24werk.com hecht grote waarde aan de beveiliging van haar systemen, gebruikers en persoonsgegevens. Ondanks de zorg die wordt besteed aan beveiliging kan het voorkomen dat een kwetsbaarheid wordt ontdekt. Met dit Responsible Disclosure & Securitybeleid biedt 24werk.com beveiligingsonderzoekers, gebruikers en andere betrokkenen de mogelijkheid om kwetsbaarheden op verantwoorde wijze te melden. Het doel van dit beleid is het verbeteren van de veiligheid van het platform en het beschermen van kandidaten, werkgevers en overige gebruikers.

Artikel 1 – Doel van dit beleid

1. Dit beleid heeft tot doel beveiligingsproblemen op een verantwoorde wijze te identificeren en op te lossen.
2. 24werk.com moedigt het melden van kwetsbaarheden aan.
3. Melders die te goeder trouw handelen hoeven niet te vrezen voor juridische stappen vanwege hun melding, mits volledig wordt voldaan aan dit beleid.

Artikel 2 – Toepassingsgebied

Dit beleid is van toepassing op:

• de website 24werk.com
• subdomeinen van 24werk.com
• webapplicaties van 24werk.com
• API's van 24werk.com
• systemen die eigendom zijn van of worden beheerd door 24werk.com

Dit beleid is niet van toepassing op systemen van derden die niet onder controle van 24werk.com vallen.

Artikel 3 – Meldingen van kwetsbaarheden Een melding kan betrekking hebben op onder meer:

• onbevoegde toegang
• privilege escalation
• authenticatieproblemen
• autorisatieproblemen
• datalekken
• SQL-injecties
• Cross-Site Scripting (XSS)
• Remote Code Execution (RCE)
• CSRF-kwetsbaarheden
• configuratiefouten
• informatielekken
• beveiligingsfouten in API's
• andere kwetsbaarheden die gevolgen kunnen hebben voor vertrouwelijkheid, integriteit of beschikbaarheid

Artikel 4 – Verantwoord handelen

Van melders wordt verwacht dat zij:

• zorgvuldig handelen
• de kwetsbaarheid niet misbruiken
• geen gegevens kopiëren of verspreiden
• geen gegevens verwijderen of wijzigen
• geen accounts overnemen
• geen systemen verstoren
• geen malware plaatsen
• geen achterdeuren installeren
• geen social engineering toepassen

Het doel van onderzoek dient uitsluitend te zijn het vaststellen en melden van de kwetsbaarheid.

Artikel 5 – Wat niet is toegestaan

Het is niet toegestaan:

• persoonsgegevens te downloaden
• kandidatengegevens te exporteren
• werkgeversgegevens te exporteren
• systemen te verstoren
• denial-of-service aanvallen uit te voeren
• brute-force aanvallen uit te voeren
• phishing uit te voeren
• accounts over te nemen
• kwetsbaarheden publiekelijk bekend te maken voordat deze zijn opgelost

Artikel 6 – Inhoud van een melding

Een melding bevat bij voorkeur:

• naam van de melder
• contactgegevens
• datum van ontdekking
• technische beschrijving
• impactanalyse
• reproduceerbare stappen
• screenshots indien relevant
• eventueel voorgestelde oplossing

Hoe completer de melding, hoe sneller deze kan worden onderzocht.

Artikel 7 – Behandeling van meldingen

1. 24werk.com zal meldingen zo spoedig mogelijk beoordelen.
2. Indien nodig kan aanvullende informatie worden opgevraagd.
3. 24werk.com bepaalt zelfstandig de prioriteit van een melding.
4. 24werk.com kan besluiten een kwetsbaarheid direct te mitigeren, tijdelijk af te schermen of definitief te verhelpen.

Artikel 8 – Vertrouwelijkheid

1. Meldingen worden vertrouwelijk behandeld.

2. De melder zal informatie over de kwetsbaarheid niet openbaar maken totdat:

• de kwetsbaarheid is opgelost; of
• schriftelijke toestemming is verleend door 24werk.com

3. 24werk.com behandelt ontvangen informatie eveneens vertrouwelijk voor zover dit redelijkerwijs mogelijk is.

Artikel 9 – Geen beloningsprogramma

1. 24werk.com exploiteert op dit moment geen bug bounty programma. 2. Het melden van kwetsbaarheden geeft geen recht op:

• financiële vergoeding
• beloning
• compensatie
• contractuele relatie

3. 24werk.com kan naar eigen inzicht besluiten een melder te bedanken of te erkennen.

Artikel 10 – Beveiligingsmaatregelen

24werk.com streeft naar een passend beveiligingsniveau en kan onder meer gebruikmaken van:

• versleutelde verbindingen
• toegangscontrole
• logging
• monitoring
• authenticatiemechanismen
• beveiligingsupdates
• back-upvoorzieningen
• fraudedetectie
• beveiligingsscans

24werk.com garandeert niet dat systemen volledig vrij zijn van kwetsbaarheden.

Artikel 11 – Datalekken

1. Indien een kwetsbaarheid mogelijk heeft geleid tot een datalek zal 24werk.com de situatie beoordelen overeenkomstig toepasselijke privacywetgeving.

1. Indien wettelijk vereist kunnen betrokkenen of toezichthoudende autoriteiten worden geïnformeerd.
2. 24werk.com bepaalt zelfstandig of sprake is van een meldplichtig datalek.

Artikel 12 – Aansprakelijkheid

1. Het melden van een kwetsbaarheid creëert geen contractuele relatie tussen de melder en 24werk.com.
2. 24werk.com aanvaardt geen aansprakelijkheid voor kosten die een melder maakt bij het uitvoeren van onderzoek.
3. Voor zover wettelijk toegestaan is iedere aansprakelijkheid uitgesloten.

Artikel 13 – Samenhang met andere documenten

Dit beleid dient te worden gelezen in samenhang met:

• Algemene Voorwaarden
• Werkgeversvoorwaarden
• Kandidatenvoorwaarden
• Leveringsvoorwaarden
• Privacyverklaring
• Cookieverklaring
• Disclaimer
• Anti-discriminatiebeleid
• Notice & Takedown Procedure
• Klachtenregeling

Artikel 14 – Wijzigingen

1. 24werk.com behoudt zich het recht voor dit beleid te wijzigen.
2. De meest actuele versie wordt gepubliceerd op het platform.
3. Voortgezet gebruik van het platform geldt als kennisname van gewijzigde versies.

Artikel 15 – Contact Kwetsbaarheden kunnen worden gemeld via: 24werk.com E-mail: info@24werk.com Verzoeken dienen voldoende informatie te bevatten om de kwetsbaarheid te kunnen reproduceren en beoordelen. Dit Responsible Disclosure & Securitybeleid treedt in werking op de datum van publicatie op het platform.