# InternalHost — Security Policy
# RFC 9116 compliant
#
# Vond je een bug, kwetsbaarheid of misbruik? Vertel het ons.
# We waarderen verantwoordelijke openbaarmaking en reageren binnen 48 uur.
# Volledige policy: https://internalhost.eu/responsible-disclosure

Contact: mailto:security@internalhost.eu
Contact: https://signal.group/#CjQKIC9pv-eJTG9A7n2CpruasyrBiBHntUV_XiA0WzdGdmK9EhAB-AQJLimN6cDWqQRL9vPi
Expires: 2027-05-19T00:00:00.000Z
Preferred-Languages: nl, en
Canonical: https://internalhost.eu/.well-known/security.txt
Policy: https://internalhost.eu/responsible-disclosure
Hiring: https://internalhost.eu/contact

# Scope
# - Productie-infrastructuur: *.internalhost.eu, AS204729 routing
# - Customer-portal (deze website)
# - Mail (mail.internalhost.eu, mx2.internalhost.eu)
#
# Out of scope
# - Klantservers (VPS/dedicated/colo): die zijn van de klant, NIET in scope zonder vooraf overleg
# - DoS / volumetrische aanvallen
# - Spamming, phishing, social engineering
# - Theoretische issues zonder PoC
# - Issues die alleen self-hosted klant-software betreffen
# - Issues in upstream open-source projecten (graag rapporteren bij die projecten)

# Recognition
# Wij houden een hall-of-fame bij voor researchers die ons hebben geholpen.
# Geen bug-bounty programma (no money), wel publieke credits + Signal-handshake.