Triagio

4 valid

Coordinated Vulnerability Disclosure (CVD) beleid.

Bij Triagio beschouwen we de beveiliging van onze systemen als topprioriteit. Maar hoe veel moeite we ook doen om onze systemen te beveiligen, er kunnen nog steeds kwetsbaarheden aanwezig zijn.

Als je een kwetsbaarheid ontdekt, horen we dat graag zodat we zo snel mogelijk maatregelen kunnen nemen. We vragen je ons te helpen onze klanten en onze systemen beter te beschermen.

At Triagio, we consider the security of our systems a top priority. But no matter how much effort we put into system security, there can still be vulnerabilities present.

If you discover a vulnerability, we would like to know about it so we can take steps to address it as quickly as possible. We would like to ask you to help us better protect our clients and our systems.

  • We waarderen security-onderzoek en coordinated vulnerability disclosure. Door deel te nemen gaat u akkoord met de volgende regels:
  • 1. Handel te goeder trouw en voorkom privacyschendingen, dataverlies en verstoring van diensten.
  • 2. Test alleen doelen die expliciet binnen scope vallen.
  • 3. Benader, wijzig of verwijder geen data die niet van u is. Stop zodra u voldoende bewijs heeft.
  • 4. Geen social engineering, phishing, vishing, smishing of fysieke aanvallen.
  • 5. Geen denial-of-service (DoS/DDoS) of testen dat beschikbaarheid/prestaties beïnvloedt.
  • 6. Gebruik zo min mogelijk belastende methoden. Vermijd geautomatiseerde high-volume scans.
  • 7. Als authenticatie nodig is, gebruik alleen accounts waarvoor u toestemming heeft.
  • 8. Probeer niet door te pivotten naar systemen van derden, leveranciers of gebruikers buiten de scope.
  • 9. Houd details vertrouwelijk totdat wij herstel hebben bevestigd of expliciet akkoord gaan met disclosure.
  • 10. Voeg duidelijke reproducerbare stappen toe, getroffen URLs/hosts, impact en eventuele proof-of-concept.
  • 11. Meld bevindingen zo snel mogelijk en geef ons redelijke tijd voor onderzoek en herstel.
  • 12. Bij actief misbruikte of kritieke issues: markeer dit duidelijk en meld direct.
  • We appreciate security research and coordinated vulnerability disclosure. By participating, you agree to follow these rules:
  • 1. Act in good faith and avoid privacy violations, destruction of data, and disruption of services.
  • 2. Only test targets that are explicitly within scope.
  • 3. Do not access, modify, or delete data that does not belong to you. Stop once you have sufficient proof.
  • 4. Do not use social engineering, phishing, vishing, smishing, or physical attacks.
  • 5. Do not perform denial-of-service (DoS/DDoS) or any testing that impacts availability or performance.
  • 6. Use the least-intrusive testing methods possible. Avoid automated high-volume scanning.
  • 7. If authentication is required, use only accounts you own or are authorized to use.
  • 8. Do not attempt to pivot to third-party systems, suppliers, or users outside the defined scope.
  • 9. Keep details confidential until we confirm remediation or explicitly agree to disclosure.
  • 10. Include clear reproduction steps, affected URLs/hosts, impact, and any proof-of-concept.
  • 11. Report promptly and allow a reasonable time for investigation and remediation.
  • 12. If you discover actively exploited or critical issues, mark them clearly and report immediately.

*.triagio.app

  • Denial of Service (DoS/DDoS) of resource exhaustion
  • Geautomatiseerde high-volume scanning of brute forcing
  • Social engineering (phishing, vishing, smishing)
  • Fysieke aanvallen of testen op locatie
  • Spam, e-mail flooding of mass reporting
  • Rapporten over diensten van derden die niet door de organisatie worden beheerd
  • Self-XSS, clickjacking zonder aantoonbare gevoelige impact of andere low-impact UI-issues
  • Ontbrekende security headers zonder aantoonbare impact
  • Best-practice issues zonder duidelijke security-impact
  • Content spoofing of open redirects zonder duidelijke exploit chain
  • Issues die alleen versie-/bannerinformatie tonen
  • Test credentials, default credentials of credential stuffing
  • Testen dat productiegegevens of privacy (PII) raakt buiten minimale proof
  • Denial of Service (DoS/DDoS) or resource exhaustion
  • Automated high-volume scanning or brute forcing
  • Social engineering (phishing, vishing, smishing)
  • Physical attacks or onsite testing
  • Spam, email flooding, or mass reporting
  • Vulnerability reports against third-party services not owned/controlled by the organization
  • Self-XSS, clickjacking without sensitive impact, or other low-impact UI issues
  • Missing security headers with no demonstrable impact
  • Best-practice issues without a clear security impact
  • Content spoofing or open redirects without a clear exploit chain
  • Reports that only demonstrate version/banner disclosure
  • Test credentials, default credentials, or credential stuffing attempts
  • Any testing that affects production data or privacy (PII) beyond minimal proof

We streven ernaar alle problemen zo snel mogelijk op te lossen, en we willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.

We strive to resolve all problems as quickly as possible, and we would like to play an active role in the ultimate publication on the problem after it is resolved.