Coordinated Vulnerability Disclosure
Laatst bijgewerkt: 22 april 2026
Heb je een kwetsbaarheid gevonden in een van onze systemen? Bedankt dat je het bij ons meldt. Op deze pagina staat hoe we omgaan met meldingen, wat we wel en niet waarderen, en wat je van ons mag verwachten.
1. Hoe meld je iets
Mail naar security@tromptechdesigns.nl. Voor gevoelige meldingen kan je versleutelen met onze PGP-sleutel (op aanvraag).
Vermeld in je melding:
- Een duidelijke beschrijving van het probleem en de impact
- Stappen om het te reproduceren (proof of concept als dat kan)
- De URL of het component waar je het hebt gevonden
- Of je wilt worden vermeld in onze hall of fame, en zo ja, onder welke naam
2. Wat wij beloven
- Bevestiging van ontvangst binnen 2 werkdagen
- Eerste inhoudelijke reactie binnen 5 werkdagen
- Status-updates minstens elke 14 dagen tot de melding is opgelost
- Geen juridische stappen tegen onderzoekers die zich aan deze regels houden
- Vermelding op onze hall of fame als je dat wilt
We hebben geen cash bug bounty op dit moment, maar we waarderen meldingen wel met zwag, een korting op onze diensten of een vermelding. Voor uitzonderlijke vondsten staan we open voor maatwerk.
3. Wat we waarderen
- SQL-injectie, XSS, CSRF, SSRF, RCE
- Authenticatie en autorisatie problemen
- IDOR en broken access control
- Data-lekken (PII, sleutels, tokens)
- Configuratie-fouten met security impact (open S3 buckets, publieke databases, etc)
4. Wat we minder relevant vinden
- Missing security headers zonder concrete impact
- Self-XSS
- Theoretische CSRF op publieke read-only endpoints
- SPF, DKIM, DMARC zonder phishing-PoC
- Volume-aanvallen (DDoS, brute force)
5. Spelregels
- Geef ons redelijke tijd om te reageren voor je publiekelijk publiceert (richtlijn: 90 dagen)
- Geen schade aan onze data, services of klanten
- Geen brute force, geen DoS, geen social engineering tegen onze medewerkers of klanten
- Test alleen op eigen accounts of testaccounts. Vraag ons als je een testaccount nodig hebt.
- Toegang tot data van anderen direct rapporteren en niet downloaden
6. Scope
In scope:
- tromptechdesigns.nl en alle subdomeinen
- Klantenportaal (portal.tromptechdesigns.nl)
- Onze API endpoints (/api/*)
- Onze automation tooling die je via een directe URL kan benaderen
Out of scope:
- Sites die we voor klanten hebben gebouwd onder een eigen domein
- Third-party services die wij gebruiken (Vercel, Supabase, OpenAI, etc) — meld die direct bij hen
- Onze admin-omgeving (geautoriseerde toegang vereist, dus geen onderzoek mogelijk)
7. Contact
- E-mail: security@tromptechdesigns.nl
- Backup: tromptech@gmail.com
- Security.txt: /.well-known/security.txt
Zie ook: Trust hub en Privacybeleid.