Wesender

Beveiliging

Kwetsbaarheid melden

Wesender.nl · KVK 90732510 · Laatste update: 19 juni 2026

Bij Wesender draait alles om vertrouwen. We versturen transactionele e-mail voor developers en hun klanten, en we slaan die data op in Europese datacenters. Veiligheid nemen we serieus, maar geen enkel systeem is perfect. Vind je een kwetsbaarheid? Laat het ons weten, dan lossen we het samen netjes op. Dit beleid beschrijft hoe je een beveiligingsprobleem bij ons meldt en wat je van ons mag verwachten. Dit heet Coordinated Vulnerability Disclosure (CVD), ook wel responsible disclosure.

1. Hoe je meldt

Stuur je melding naar security@wesender.nl. Geef ons genoeg informatie om het probleem te begrijpen en na te bootsen:

  • Een duidelijke omschrijving van de kwetsbaarheid
  • De stappen om het te reproduceren, of een proof of concept
  • Het systeem, de URL of het onderdeel waar het speelt
  • Eventueel screenshots of logfragmenten

Hoe concreter je melding, hoe sneller we kunnen handelen. Meld bij voorkeur in het Nederlands of Engels.

2. Wat we van je vragen

Om dit voor iedereen veilig te houden, vragen we je om:

  • Niet meer data te benaderen, te wijzigen of te verwijderen dan strikt nodig is om het probleem aan te tonen
  • Geen gebruik te maken van aanvallen op de beschikbaarheid van onze dienst, zoals DDoS, spam of brute force op grote schaal
  • Geen social engineering toe te passen op onze medewerkers, klanten of leveranciers
  • Geen fysieke toegang te zoeken tot onze systemen of die van onze leveranciers
  • De kwetsbaarheid niet met anderen te delen of openbaar te maken voordat we de kans hebben gehad om het op te lossen
  • Vertrouwelijk om te gaan met gegevens die je tijdens je onderzoek tegenkomt

Kom je per ongeluk bij gevoelige gegevens van anderen? Stop dan direct, benader niet meer dan nodig en meld het ons.

3. Wat je van ons mag verwachten

Als je je aan de spelregels hierboven houdt, beloven wij:

  • Dat we binnen vijf werkdagen op je melding reageren
  • Dat we je op de hoogte houden van de voortgang en van het moment waarop het is opgelost
  • Dat we geen juridische stappen tegen je ondernemen voor onderzoek dat te goeder trouw en binnen dit beleid is uitgevoerd
  • Dat we je melding vertrouwelijk behandelen en je gegevens niet zonder overleg met derden delen
  • Dat we je, als je dat wilt, met naam vermelden als de vinder zodra het probleem is verholpen

We werken op dit moment niet met een geldelijke beloning (bug bounty). Onze dank en eventuele erkenning bieden we wel graag.

4. Buiten scope

De volgende meldingen pakken we doorgaans niet op, omdat ze geen direct beveiligingsrisico vormen:

  • Ontbrekende of als suboptimaal beoordeelde best-practice headers zonder aantoonbare impact
  • Rapporten die enkel uit een geautomatiseerde scan komen zonder werkende proof of concept
  • Kwetsbaarheden in verouderde browsers of platforms
  • Self-XSS die alleen het eigen account van de gebruiker raakt
  • Problemen die afhankelijk zijn van fysieke toegang tot een apparaat van het slachtoffer
  • Meldingen over spam, phishing of e-mailmisbruik door gebruikers van het platform (gebruik daarvoor abuse@wesender.nl)

5. Systemen die onder dit beleid vallen

Dit beleid geldt voor de systemen die wij zelf beheren:

  • wesender.nl
  • app.wesender.nl
  • api.wesender.nl
  • docs.wesender.nl

Diensten van derden die wij gebruiken vallen buiten dit beleid. Vind je daar iets, meld het dan bij de betreffende partij.

6. Contact

E-mail: security@wesender.nl

Zie ook ons machine-leesbare bestand op https://wesender.nl/.well-known/security.txt.