Beveiligingsbeleid

Laatst bijgewerkt: 2026-05-13

Wij nemen beveiliging serieus. Dit beleid legt uit hoe u een kwetsbaarheid meldt, wat wij terug beloven, en wat binnen de scope valt. De canonieke metadata voor beveiligingsonderzoekers staat ook op /.well-known/security.txt (RFC 9116).

1. Hoe u een melding doet

Mail [email protected] - PGP-sleutel op aanvraag - of open een privérapport op https://hackerone.com/elido. Beide routes komen bij dezelfde on-call-wachtrij terecht. Vermeld reproductiestappen, de betrokken URL/endpoint, en de impact die u heeft waargenomen. Publiceer geen details totdat wij een fix hebben gecoördineerd.

2. Reactie-SLA

Eerste reactie: binnen 24 uur. Getrieerd met een ernstclassificatie: binnen 5 werkdagen. Oplossingsdoel: 14 dagen voor Hoog/Kritiek, 30 dagen voor Middel/Laag. Als een fix langer nodig heeft (bijv. wachten op een externe afhankelijkheid), houden we u wekelijks op de hoogte.

3. Binnen scope

elido.app (marketing), app.elido.app (dashboard), api.elido.app (REST + GraphQL), elido.me / f.elido.me / s.elido.me / b.elido.me (redirect-tiers), docs.elido.app, de Elido iOS- en Android-apps, de elidoapp/elido-* npm-pakketten, en de Elido MCP-server (packages/mcp-server).

4. Buiten scope

Diensten van derden die wij gebruiken (onze authenticatie- en identiteitsprovider, onze support-chatprovider, Cloudflare, Anthropic, monobank Plata, Coinbase Commerce, WorkOS, Resend) - meld dit alstublieft rechtstreeks bij hen. Brute-forcing van rate-limited endpoints (dat testen wij zelf). Social engineering van Elido-medewerkers. Volumetrische/DoS-aanvallen. Bevindingen die afhankelijk zijn van het installeren van kwaadaardige software door het slachtoffer buiten Elido om. Open redirect via de korte link zelf - dat is de dienst.

5. Veilige haven

Als u zich te goeder trouw inspant om dit beleid na te leven, zullen wij geen juridische stappen ondernemen en met u samenwerken om het probleem te begrijpen en op te lossen. Concreet: testen tegen accounts die u zelf bezit, geen productiegegevens exfiltreren, geen impact op andere klanten, en niet publiekelijk openbaar maken voordat wij een fix hebben uitgebracht.

6. Beloningen

Elido voert een betaald bug bounty-programma uit op HackerOne. Indicatieve beloningen (USD): Kritiek $3000, Hoog $1500, Middel $500, Laag $200, Triviaal $50 aan swag-equivalent. Het uiteindelijke bedrag hangt af van impact, originaliteit en kwaliteit van het rapport. Wij vermelden ook niet-betaalde geldige meldingen op /legal/security-acknowledgments met uw toestemming.

7. Erkenningen

Wij vermelden publiekelijk onderzoekers die ons helpen op /legal/security-acknowledgments - handle of echte naam naar keuze, en pas nadat het probleem is opgelost.