Skip to main content
Security

Beleid voor Meldingen van Kwetsbaarheden

Roadsoft B.V.
Laatst bijgewerkt: april 2026

Introductie

Roadsoft neemt de beveiliging van haar producten en diensten serieus. Wij verwelkomen verantwoorde meldingen van kwetsbaarheden die mogelijk in onze systemen worden gevonden. Dit beleid beschrijft hoe u kwetsbaarheden kunt melden en wat u van ons kunt verwachten.

Toepassingsgebied

Dit beleid is van toepassing op:

  • Roadsoft webapplicatie (app.rs-roadsoft.nl)
  • Roadsoft API's
  • Roadsoft mobiele applicaties
  • Elk ander digitaal product of dienst van Roadsoft B.V.

Hoe te Melden

Stuur uw bevindingen naar security@rs-roadsoft.com en vermeld:

  • Een beschrijving van de kwetsbaarheid en de mogelijke impact
  • Stappen om het probleem te reproduceren
  • Ondersteunend materiaal (screenshots, proof-of-concept code, logbestanden)
  • Uw contactgegevens voor opvolging

U kunt uw melding versleutelen met onze PGP-sleutel (beschikbaar op aanvraag).

Onze Toezeggingen

  • Wij bevestigen de ontvangst van uw melding binnen 2 werkdagen
  • Wij geven een eerste beoordeling binnen 5 werkdagen
  • Wij houden u op de hoogte van onze voortgang
  • Wij lossen kritieke kwetsbaarheden op binnen 30 dagen
  • Wij ondernemen geen juridische stappen tegen onderzoekers die dit beleid naleven
  • Wij vermelden uw naam (indien gewenst) wanneer de kwetsbaarheid is opgelost

Spelregels

Wij verzoeken u:

  • Geen gegevens van andere gebruikers te benaderen, wijzigen of verwijderen
  • Onze diensten niet te verstoren of te overbelasten (geen DoS/DDoS)
  • Geen kwetsbaarheidsdetails openbaar te maken totdat wij het probleem hebben opgelost
  • Geen geautomatiseerde scanhulpmiddelen op grote schaal te gebruiken zonder voorafgaand overleg
  • Te goeder trouw te handelen en redelijke inspanningen te leveren om privacyschendingen te voorkomen

Buiten Toepassingsgebied

  • Social engineering-aanvallen (phishing, vishing)
  • Fysieke beveiligingsproblemen
  • Kwetsbaarheden in diensten of applicaties van derden die niet door Roadsoft worden beheerd
  • Rapporten die uitsluitend zijn gegenereerd door geautomatiseerde hulpmiddelen zonder geverifieerde impact

Erkenning

Wij waarderen de beveiligingsonderzoeksgemeenschap. Onderzoekers die geldige kwetsbaarheden op verantwoorde wijze melden, worden vermeld op onze beveiligingspagina (met toestemming). Wij bieden op dit moment geen monetair bug bounty-programma aan.

Juridische Vrijwaring

Roadsoft zal geen juridische stappen ondernemen tegen personen die kwetsbaarheden ontdekken en melden in overeenstemming met dit beleid. Deze vrijwaring is van toepassing op activiteiten die worden uitgevoerd in het kader van dit beleid en geldt niet voor schendingen van andere toepasselijke wet- en regelgeving.

Contact

E-mail: security@rs-roadsoft.com  Web: https://www.rs-roadsoft.nl/security

Relevante Regelgeving

Dit beleid wordt bijgehouden in overeenstemming met de EU Cyber Resilience Act (Verordening 2024/2847) en sluit aan bij de Nederlandse richtlijnen voor Coordinated Vulnerability Disclosure (CVD) zoals aanbevolen door het NCSC.