Beveiligingsbeleid
Laatst bijgewerkt: 16 maart 2026
De veiligheid van onze gebruikers en hun gegevens is onze hoogste prioriteit. We waarderen de hulp van beveiligingsonderzoekers en de gemeenschap bij het veilig houden van Sommie.
Een kwetsbaarheid melden
Als je een beveiligingskwetsbaarheid in Sommie ontdekt, meld deze dan verantwoordelijk. Open geen publiek issue.
Wat je moet meesturen
- Beschrijving van de kwetsbaarheid
- Stappen om te reproduceren of proof of concept
- Getroffen onderdeel(en) en versie(s)
- Mogelijke impact
Wat je kunt verwachten
We nemen elke melding serieus en streven naar een snelle afhandeling.
Bevestiging binnen 48 uur
We bevestigen de ontvangst van je melding.
Beoordeling binnen 7 dagen
We delen een eerste beoordeling en de verwachte planning.
Oplossing voor kritieke problemen binnen 30 dagen
We streven ernaar kritieke kwetsbaarheden zo snel mogelijk op te lossen.
Scope
Binnen scope
- Backend API (api.focusmetsommie.nl)
- Website (focusmetsommie.nl)
- Admin dashboard (dashboard.focusmetsommie.nl)
- Apparaatfirmware en OTA-updatemechanisme
- Authenticatie en autorisatie (JWT, apparaattokens, Somtoday OAuth)
- Betalingsverwerking (Mollie-integratie)
- Gegevensopslag en versleuteling
Buiten scope
- Somtoday's eigen API en infrastructuur
- Mollie's betalingsplatform
- Externe afhankelijkheden (meld deze bij het betreffende project, maar laat het ons weten als ze Sommie raken)
- Denial-of-service-aanvallen
- Social engineering
- Fysieke aanvallen op apparaten
Ondersteunde versies
Oudere versies ontvangen mogelijk geen beveiligingspatches. We raden aan altijd de nieuwste versie te gebruiken.
| Component | Ondersteund |
|---|---|
| Backend / Website / Dashboard | Nieuwste release |
| Firmware | Laatste twee minor-versies |
Veilige haven
We beschouwen beveiligingsonderzoek dat te goeder trouw wordt uitgevoerd als geautoriseerd. We zullen geen juridische stappen ondernemen tegen onderzoekers die:
- Kwetsbaarheden melden via bovenstaande kanalen
- Geen gegevens van andere gebruikers benaderen, wijzigen of verwijderen
- Onze diensten niet verstoren of de ervaring van andere gebruikers niet verminderen
- Redelijke tijd geven om het probleem op te lossen voordat het openbaar wordt gemaakt
Gecoordineerde openbaarmaking
We hanteren een 90-daagse gecoordineerde openbaarmakingstermijn.
Na het melden vragen we je om:
- Tot 90 dagen te wachten zodat we een oplossing kunnen ontwikkelen en uitrollen
- Openbaarmaking met ons af te stemmen
- De kwetsbaarheid niet verder te exploiteren dan nodig is om deze aan te tonen
We vermelden onderzoekers graag in onze release notes (tenzij je anoniem wilt blijven).
Beveiligingsprobleem gevonden?
Neem contact met ons op via security@focusmetsommie.nl
Voor algemene vragen: support@focusmetsommie.nl