Managed Vulnerability Disclosure Program

Een Managed Vulnerability Disclosure Program (Managed VDP) is een volledig beheerd proces waarmee organisaties kwetsbaarheden op een veilige, gestructureerde en juridisch gedekte manier kunnen laten melden door ethische hackers.
WebSec verzorgt het opstellen van het beleid (Responsible Disclosure Policy), de veilige-havenbepalingen (vrijwaring), de afbakening van de scope, en faciliteert het volledige meldproces van triage tot rapportage.

Een Managed VDP helpt om:

• Kwetsbaarheden snel te detecteren en te verhelpen
• Vertrouwen te vergroten bij klanten, partners en onderzoekers
• Te voldoen aan compliance-eisen zoals ISO 27001
• Juridische risico’s te beperken dankzij duidelijke richtlijnen en vrijwaringsclausules

1. Beleid op maat – Wij maken een professioneel Responsible Disclosure- of VDP-beleid, afgestemd op uw organisatie.
2. Publicatie – U ontvangt een kant-en-klare link en formulier voor op uw website.
3. Validatie & Triage – Wij beoordelen meldingen op relevantie, reproduceerbaarheid en volledigheid.
4. Oplossen & Hertesten – Wij begeleiden prioritering, opvolging en hertesten van kwetsbaarheden.

• €100/maand – in combinatie met een pentest bij WebSec
• €200/maand – zonder pentest
• +€25/maand per extra beleid – bijvoorbeeld voor extra entiteiten of applicaties
• Geen limiet op het aantal domeinen in scope

• Bugcrowd: ± €920–€1.380/maand
• HackerOne: ± €1.150–€3.860/maand
• Zerocopter: vanaf €1.000/maand (kan oplopen tot €5.000/maand)

• Standaard VDP: organisatie beheert zelf beleid, communicatie en opvolging
• Managed VDP: WebSec verzorgt beleid, triage, rapportage en coördinatie met onderzoekers, waardoor uw interne team wordt ontlast

Door safe harbor bepalingen (vrijwaring) in het beleid op te nemen, wordt vastgelegd dat ethische hackers die zich aan de regels houden, juridisch beschermd zijn. Dit voorkomt misverstanden en vermindert aansprakelijkheidsrisico’s.

Ja, wij faciliteren wereldwijde deelname via een openbaar beleid en meldformulier.
Let op: meldingen vanuit gesanctioneerde landen worden niet geaccepteerd.

1. Ontvangstmelding – automatische bevestiging naar de onderzoeker
2. Beoordeling – check op relevantie, reproduceerbaarheid en volledigheid
3. Classificatie – prioriteit bepalen op basis van impact en kans
4. Rapportage – alleen gevalideerde meldingen gaan naar de klant

Ja, u kunt de scope op elk moment uitbreiden. Wij passen het beleid en meldformulier kosteloos aan. Voor extra beleid geldt €25/maand per stuk.

WebSec streeft ernaar om meldingen binnen 1–3 werkdagen te triëren en te rapporteren. Kritieke kwetsbaarheden krijgen altijd prioriteit.

Wij begeleiden het volledige opvolgingsproces, inclusief communicatie met de onderzoeker, advies voor oplossingen, en hertesten na implementatie van de fix.

Ja, onze rapporten zijn gestructureerd zodat ze bruikbaar zijn voor ISO 27001-audits, security assessments en compliance-rapportages.

Ja, veel klanten combineren een Managed VDP met ons Security Abonnement, waarin het beleid standaard is inbegrepen. Dit zorgt voor een volledig beveiligingsprogramma.