Beveiligingsbeleid

Laatst bijgewerkt: april 2025



Bij SavePorn heeft de beveiliging van onze Dienst en de gegevens van onze gebruikers de hoogste prioriteit. Dit beleid beschrijft onze beveiligingspraktijken, hoe u kwetsbaarheden kunt melden en wat u kunt verwachten wanneer u dat doet.

1. Melden van beveiligingskwetsbaarheden

Indien u een beveiligingskwetsbaarheid in SavePorn ontdekt, verzoeken wij u deze op verantwoorde wijze aan ons te melden. Stuur de details naar:

[email protected]

Vermeld bij uw melding:

  • Een beschrijving van de kwetsbaarheid en de mogelijke impact ervan.
  • Stappen om het probleem te reproduceren, inclusief relevante URL's, parameters of payloads.
  • Het type kwetsbaarheid (bijv. XSS, SQL injection, authenticatieomzeiling, gegevensblootstelling).
  • Screenshots, logbestanden of proof-of-concept-code die het probleem demonstreert.

2. Verantwoorde openbaarmaking

Wij verzoeken u vriendelijk om:

  • De kwetsbaarheid niet openbaar te maken totdat wij een redelijke gelegenheid hebben gehad om deze te verhelpen.
  • Niet de gegevens van andere gebruikers te openen, te wijzigen of te verwijderen als onderdeel van uw onderzoek.
  • Geen acties te ondernemen die de Dienst voor andere gebruikers kunnen degraderen (bijv. denial-of-service-aanvallen, brute-force-pogingen op grote schaal).
  • Te goeder trouw te handelen om de privacy van anderen niet te schenden.

Wij zullen geen juridische stappen ondernemen tegen personen die kwetsbaarheden ontdekken en melden in overeenstemming met dit beleid.

3. Onze reactie

Wanneer u een kwetsbaarheid meldt, kunt u het volgende verwachten:

  • Bevestiging binnen 48 uur na uw melding.
  • Een eerste beoordeling van het probleem binnen 5 werkdagen.
  • Regelmatige updates over onze voortgang bij het oplossen van het probleem.
  • Erkenning (indien gewenst) in elke openbare bekendmaking van de kwetsbaarheid, zodra deze is opgelost.

4. Reikwijdte

Het volgende valt binnen de reikwijdte van beveiligingsmeldingen:

  • De SavePorn-webapplicatie op save.porn.
  • De SavePorn-API.
  • Authenticatie en sessiebeheer.
  • Betalingsverwerkingsstromen.
  • Browserextensies en native applicaties gepubliceerd door SavePorn.

Het volgende valt buiten de reikwijdte:

  • Diensten van derden waarmee wij integreren (e-mailproviders, blockchainnetwerken).
  • Social-engineering-aanvallen gericht op medewerkers of gebruikers van SavePorn.
  • Fysieke aanvallen tegen de infrastructuur van SavePorn.
  • Kwetsbaarheden in software of systemen die niet eigendom zijn van of beheerd worden door SavePorn.

5. Beveiligingspraktijken

SavePorn hanteert de volgende beveiligingsmaatregelen om gebruikersgegevens te beschermen:

  • Versleuteling tijdens overdracht: Alle verbindingen gebruiken TLS. Niet-versleutelde HTTP-verzoeken worden omgeleid naar HTTPS.
  • Authenticatie: Wij gebruiken tijdgebonden magische codes die per e-mail worden verzonden — er worden geen wachtwoorden opgeslagen. Sessies gebruiken httpOnly, Secure, SameSite=Lax cookies.
  • Toegangscontrole: Alle API-eindpunten die toegang hebben tot gebruikersgegevens vereisen authenticatie. Gebruikers hebben alleen toegang tot hun eigen gegevens.
  • Snelheidsbeperking: API-eindpunten zijn voorzien van snelheidsbeperking om misbruik te voorkomen.
  • Geen tracking: Wij gebruiken geen analytics, advertentietrackers of fingerprinting. Zie ons Privacybeleid voor details.
  • Minimale gegevensverzameling: Wij verzamelen uitsluitend de gegevens die nodig zijn om de Dienst te exploiteren.

6. security.txt

Overeenkomstig RFC 9116 publiceren wij een security.txt-bestand op /.well-known/security.txt met onze beveiligingscontactgegevens en de URL van dit beleid.

7. Contact

Voor alle beveiligingsgerelateerde zaken kunt u contact met ons opnemen via:

[email protected]