Beveiliging & vertrouwen
Kwetsbaarhedenmelding, PGP-contact en conformiteit met de EU Cyber Resilience Act (CRA).
1. Een kwetsbaarheid melden
Beveiligingsprobleem gevonden? Wij verwelkomen vertrouwelijke meldingen. Gebruik de onderstaande kanalen in plaats van openbare kanalen.
Vertrouwelijke contactkanalen
- E-mail:security@chorilo.com
- PGP-sleutel:/.well-known/pgp-key.txt
- security.txt volgens RFC 9116:/.well-known/security.txt
2. Reikwijdte
Binnen reikwijdte
- chorilo.com en alle productie-subdomeinen
- Chorilo Backend API
- Chorilo mobiele app (iOS, Android)
- Chorilo Files desktop-app (macOS, Windows)
- Authenticatie, autorisatie, gegevenstoegangscontroles
Buiten reikwijdte
- Geautomatiseerde scanners zonder werkende proof of concept
- Ontbrekende beveiligingsheaders zonder aangetoonde impact
- Phishing of social engineering van personeel
- Diensten van derden (Stripe, Sentry — daar melden)
- Self-XSS, aanvallen op het apparaat van de melder
3. Safe harbor
Als u te goeder trouw handelt, zullen wij geen civiele of strafrechtelijke procedures aanspannen, mits u:
- Privacyovertredingen, gegevensvernietiging en serviceonderbreking vermijdt.
- Alleen interactie heeft met uw eigen accounts of met expliciete toestemming.
- Niet meer gegevens exfiltreert dan nodig is om het probleem aan te tonen.
- Ons redelijke tijd geeft om te herstellen vóór openbaarmaking.
- De kwetsbaarheid niet meer benut dan minimaal nodig.
4. Reactietijden
| Termijn | Actie |
|---|---|
| 3 werkdagen | Ontvangstbevestiging aan de melder |
| 10 werkdagen | Initiële beoordeling en ernstclassificatie |
| 24 h | Early warning aan ENISA voor actief uitgebuite kwetsbaarheden |
| 72 h | Vulnerability notification met mitigatieplan |
| 14 d | Eindrapport met root cause en herstel |
Voor actief uitgebuite kwetsbaarheden geldt de CRA-meldingsketen (24h / 72h / 14d).
5. PGP-sleutel
Voor bijzonder gevoelige rapporten kan de onderstaande PGP-sleutel gebruikt worden.
Vergelijk de fingerprint met een tweede bron — bijvoorbeeld keys.openpgp.org — vóór eerste gebruik.
6. CRA-conformiteit
Chorilo voldoet aan de EU Cyber Resilience Act (Verordening 2024/2847):
- Vulnerability disclosure-beleid volgens art. 13 en 14 CRA.
- Software Bill of Materials (CycloneDX 1.5) per component.
- Technische documentatie volgens Bijlage VII, 10 jaar bewaard.
- Openbare statuspagina en incidenthistorie op /status
7. Hall of Fame
Een lijst van beveiligingsonderzoekers die bijdragen aan Chorilo wordt hier gepubliceerd na afhandeling van de eerste rapporten.