CVD

Coordinated Vulnerability Disclosure (CVD)

Versie: 1.0 – datum: 22 november 2025

Dit beleid beschrijft hoe u een kwetsbaarheid in systemen van RvH Hosting op een verantwoorde manier kunt melden.

1. Doel en uitgangspunten

In dit hoofdstuk leggen we uit waarom RvH Hosting een CVD-beleid hanteert.

RvH Hosting streeft naar een veilige en betrouwbare dienstverlening. Ondanks zorgvuldige beveiligingsmaatregelen kan het voorkomen dat er een kwetsbaarheid wordt ontdekt in een van onze systemen of een door ons beheerde omgeving. Wij waarderen het wanneer beveiligingsonderzoekers of gebruikers een kwetsbaarheid op verantwoorde wijze melden.

Onderstaand CVD-beleid beschrijft hoe u een kwetsbaarheid kunt melden en welke afspraken daarbij gelden.

Scope
Deze procedure geldt uitsluitend voor kwetsbaarheden in systemen en diensten die rechtstreeks door RvH Hosting worden beheerd. Hieronder vallen onder andere:

  • websites die door RvH Hosting worden gehost;
  • domeinnaamregistraties en bijbehorende DNS-configuraties;
  • e-maildiensten die door RvH Hosting worden geleverd;
  • door RvH Hosting beheerde servers en infrastructuur.
Buiten de scope vallen onder meer:
  • systemen, websites of applicaties die door klanten of derden worden ontwikkeld of beheerd;
  • systemen waarbij RvH Hosting uitsluitend de domeinnaam registreert, maar geen hosting of infrastructuur levert;
  • sociale-engineering tests, phishing, of pogingen tot het manipuleren van medewerkers of klanten;
  • fysieke toegang tot apparatuur of locaties;
  • Denial-of-Service-aanvallen (DoS/DDoS), brute-force-aanvallen of andere vormen van verstorend verkeer.

Deze procedure is bedoeld voor het melden van technische kwetsbaarheden die leiden tot ongeautoriseerde toegang, manipulatie van gegevens, privacy-risico’s of andere beveiligingsproblemen binnen de diensten die RvH Hosting zelf beheert.

2. Vertrouwelijke behandeling

Hier leest u hoe RvH Hosting meldingen en persoonsgegevens van de melder behandelt.

RvH Hosting behandelt meldingen altijd strikt vertrouwelijk. Uw persoonsgegevens en de inhoud van de melding worden niet gedeeld met derden, behalve wanneer dit noodzakelijk is voor het oplossen van de kwetsbaarheid. In dat geval gebeurt dit uitsluitend met partijen die direct betrokken zijn bij het betreffende systeem.

3. Geen juridische stappen

In dit hoofdstuk leggen we uit onder welke voorwaarden RvH Hosting geen juridische stappen onderneemt.

Wanneer u een kwetsbaarheid meldt in overeenstemming met dit beleid, start RvH Hosting geen civiele of strafrechtelijke procedures, doen wij geen aangifte en worden geen schadeclaims ingediend. Dit geldt op voorwaarde dat u:

  • geen misbruik maakt van de kwetsbaarheid;
  • geen schade veroorzaakt; en
  • uw onderzoek beperkt tot wat noodzakelijk is voor de melding.

4. Wat u wel en niet mag doen

Hier staat omschreven welke onderzoeksactiviteiten wel en niet zijn toegestaan.

Wel toegestaan:

  • onderzoek dat non-destructief is en zich beperkt tot verificatie;
  • minimale reproductie van de kwetsbaarheid om het probleem aan te tonen;
  • het delen van voldoende informatie om de kwetsbaarheid te kunnen begrijpen en reproduceren.

Niet toegestaan:

  • het wijzigen, verwijderen of onbruikbaar maken van data;
  • het benaderen, inzien of kopiëren van gegevens van derden, behalve wanneer een minimale inzage strikt noodzakelijk is om de kwetsbaarheid aan te tonen;
  • gebruik van social engineering, phishing of fysieke aanvallen;
  • het uitvoeren van brute-force, DDoS- of spam-aanvallen;
  • het misbruiken van de kwetsbaarheid;
  • het openbaar maken van details voordat dit is afgestemd met RvH Hosting.

5. Melden van een kwetsbaarheid

Dit hoofdstuk beschrijft hoe u een kwetsbaarheid kunt melden en welke informatie daarbij helpt.

U kunt een kwetsbaarheid melden via:

E-mail: info@rvhhosting.nl
Onderwerp: Responsible Disclosure melding

PGP-key:
Download onze PGP public key
Fingerprint: 09BC 7A3F F0B8 8F65 0042 2F6B 0333 E908 A9F6 F483

Vermeld daarbij indien mogelijk:

  • een duidelijke omschrijving van de kwetsbaarheid;
  • de getroffen URL, dienst of omgeving;
  • stappen om het probleem te reproduceren;
  • eventuele logregels, schermafbeeldingen of proof-of-concept;
  • uw contactgegevens (mag anoniem, maar contact is handig bij verduidelijking).

RvH Hosting kan de aangeleverde informatie gebruiken voor analyse, verificatie en verbetering van haar systemen.

6. Reactietermijn

Hier leest u wat u mag verwachten nadat u een melding heeft gedaan.

RvH Hosting bevestigt de ontvangst van uw melding in principe binnen 3 werkdagen. Wij streven ernaar om binnen 10 werkdagen:

  • een eerste beoordeling van de kwetsbaarheid te geven;
  • een eventuele workaround of planning voor een oplossing te delen; en
  • u op de hoogte te houden van de voortgang en afronding.

7. Geen beloningen

In dit hoofdstuk verduidelijken we dat RvH Hosting geen bug bounty-programma voert.

RvH Hosting kent geen beloningen toe (zoals geld, cadeaus, hall-of-fame vermelding of bug bounty-beloningen). Dit beleid is uitsluitend bedoeld om de veiligheid van onze systemen te verbeteren.

8. Gebruik van de verstrekte informatie

Hier leggen we uit hoe RvH Hosting de door u aangeleverde informatie gebruikt.

Door een melding te doen, geeft u RvH Hosting het recht om de informatie te gebruiken voor analyse, het reproduceren van de kwetsbaarheid, het verbeteren van beveiligingsmaatregelen en het delen van de informatie met partijen die direct betrokken zijn bij het oplossen van het probleem. Wij gebruiken de informatie uitsluitend voor beveiligingsdoeleinden.

9. Openbaarmaking

Dit hoofdstuk beschrijft hoe RvH Hosting omgaat met eventuele publicatie van kwetsbaarheidsdetails.

RvH Hosting stemt een eventuele openbaarmaking van details van de kwetsbaarheid altijd af met de melder. We vragen om voldoende tijd om de kwetsbaarheid te verhelpen voordat deze publiek wordt gemaakt.