Vulnerability Disclosure Policy

Kwetsbaarheidsmelding (CVD-beleid)

Breathfulness — Versie 1.0 — Ingangsdatum: 1 april 2026

Inleiding

Breathfulness hecht groot belang aan de veiligheid van onze app, websites en digitale diensten. Ondanks onze zorgvuldigheid kan het voorkomen dat er een kwetsbaarheid aanwezig is. Als je een beveiligingsprobleem ontdekt in een van onze systemen, stellen wij het op prijs als je dit verantwoord aan ons meldt. Zo kunnen wij het probleem snel en zorgvuldig oplossen.

Ons beleid volgt de richtlijnen voor Coordinated Vulnerability Disclosure (CVD) van het Nationaal Cyber Security Centrum (NCSC) en de aanbevelingen van het Digital Trust Center (DTC).

Hoe meld je een kwetsbaarheid?

Stuur je melding per e-mail naar:

security@breathfulness.app

Versleutel je bericht indien mogelijk met onze PGP-sleutel (beschikbaar op verzoek). Vermeld in je melding in ieder geval:

• Een duidelijke beschrijving van de kwetsbaarheid
• De URL, het systeem of het scherm in de app waar de kwetsbaarheid is gevonden
• Stappen om de kwetsbaarheid te reproduceren (proof-of-concept)
• Eventuele screenshots, logbestanden of andere ondersteunende informatie
• Je contactgegevens (naam en e-mailadres), zodat wij met je in contact kunnen treden

Wat kun je van ons verwachten?

Stap	Termijn
Ontvangstbevestiging	Binnen 3 werkdagen
Beoordeling en terugkoppeling	Binnen 10 werkdagen
Oplossing of actieplan	Binnen 90 dagen

Wij streven ernaar kwetsbaarheden zo snel mogelijk op te lossen. Bij complexe problemen die meer tijd vergen, houden wij je op de hoogte van de voortgang. Mochten er omstandigheden zijn waardoor de termijn van 90 dagen niet haalbaar is, overleggen wij dit met jou vooraf.

Na afhandeling van je melding vermelden wij je naam of alias — met jouw toestemming — als erkenning voor je bijdrage.

Scope: wat valt onder dit beleid?

Dit beleid is van toepassing op alle digitale systemen die eigendom zijn van of worden beheerd door Breathfulness, waaronder:

• Mobiele apps: de Breathfulness-app voor iOS en Android
• Websites: breathfulness.app en alle subdomeinen, breathfulness.nl en alle subdomeinen, breathfulness.center en alle subdomeinen
• Backend infrastructuur

Twijfel je of een systeem onder ons beheer valt? Meld het gewoon — wij zorgen voor doorverwijzing als een derde partij verantwoordelijk is.

Buiten scope

De volgende bevindingen vallen buiten dit CVD-beleid en worden niet als kwetsbaarheidsmelding behandeld:

• Ontbrekende of niet-optimale HTTP-beveiligingsheaders (zoals CSP, X-Frame-Options, HSTS) zonder aantoonbaar misbruikscenario
• Versienummers in HTTP-headers, HTML-broncode of meta-tags (zonder directe exploiteerbaarheid)
• Theoretische kwetsbaarheden zonder werkend proof-of-concept of realistisch aanvalsscenario
• WordPress-standaardfunctionaliteit zoals toegankelijkheid van wp-login.php of de aanwezigheid van xmlrpc.php op onze marketingsites (tenzij er sprake is van aantoonbaar misbruik)
• Brute-force aanvallen of loginpogingen die je zelf hebt uitgevoerd
• Self-XSS (cross-site scripting dat alleen de aanvaller zelf treft)
• Denial-of-service (DoS/DDoS)-aanvallen of tests die de beschikbaarheid van diensten beinvloeden
• Social engineering en phishing (van medewerkers of gebruikers van Breathfulness)
• Kwetsbaarheden in software en diensten van derden zoals Firebase, RevenueCat, Superwall, Cloudflare of de App Store/Play Store — meld deze bij de betreffende aanbieder
• In-app aankopen of abonnementen omzeilen via kwetsbaarheden in derde partijen (RevenueCat, App Store, Play Store)
• SSL/TLS-configuratie die voldoet aan actuele normen maar als suboptimaal wordt beschouwd
• Spam of e-mail-configuratieproblemen zonder beveiligingsrisico
• Fysieke aanvallen op onze locaties of medewerkers

Spelregels (Rules of Engagement)

Om in aanmerking te komen voor onze veilige-havengarantie (zie hieronder) vragen wij je uitdrukkelijk:

Wel doen:

• Meld kwetsbaarheden zo snel mogelijk na ontdekking
• Doe niet meer dan strikt noodzakelijk is om de kwetsbaarheid aan te tonen
• Bewaar alle bevindingen vertrouwelijk totdat wij het probleem hebben opgelost en je toestemming geven tot openbaarmaking
• Verwijder na je onderzoek alle verkregen toegang, gegevens of bestanden die je mogelijk hebt verkregen
• Test uitsluitend met eigen testaccounts — nooit met accounts van andere gebruikers

Niet doen:

• Maak geen misbruik van de kwetsbaarheid, ook niet om “de ernst te bewijzen” — een reproductiestap is voldoende
• Installeer geen malware, backdoors of andere kwaadaardige software
• Verander geen gegevens in systemen; maak ook geen kopieren van gebruikersdata die verder gaan dan strikt noodzakelijk voor de melding
• Gebruik geen geautomatiseerde scantools die de beschikbaarheid van diensten kunnen schaden
• Deel de kwetsbaarheid niet met andere partijen zolang deze niet is verholpen
• Meld de kwetsbaarheid niet via publieke kanalen (social media, GitHub, forums) voordat wij gezamenlijk een publicatiedatum hebben afgesproken

Veilige-havenverklaring (Safe Harbor)

Breathfulness beschouwt security-onderzoek dat plaatsvindt in overeenstemming met dit beleid als geautoriseerd en handelt niet juridisch tegen onderzoekers die te goeder trouw handelen.

Concreet betekent dit:

• Wij ondernemen geen civielrechtelijke stappen (zoals schadevergoeding) tegen onderzoekers die dit beleid naleven
• Wij doen geen aangifte bij de politie voor bevoegd verkregen toegang die plaatsvond in het kader van dit onderzoek
• Wij verdedigen onderzoekers die dit beleid naleven als een derde partij juridische stappen onderneemt, conform hetgeen redelijkerwijs van ons verwacht mag worden

Deze garantie vervalt als de onderzoeker de spelregels overtreedt — bijvoorbeeld door gebruikersdata te stelen, systemen te beschadigen of de kwetsbaarheid openbaar te maken voordat wij toestemming hebben gegeven.

Deze verklaring is gebaseerd op de CVD-richtlijnen van het NCSC en de aanbevelingen van het Digital Trust Center. Bij vragen over de juridische reikwijdte kun je contact opnemen via security@breathfulness.app.

Coordinatie via NCSC

Wanneer een gemelde kwetsbaarheid meerdere organisaties of leveranciers treft, kunnen wij of jij de coordinatie overdragen aan het NCSC. Het NCSC fungeert in dat geval als neutrale tussenpersoon. Meer informatie: ncsc.nl/contact/kwetsbaarheid-melden

Wat wij niet doen

• Wij doen geen bug bounty-betalingen uit. Wij kunnen geen financiele vergoeding aanbieden.
• Wij sturen geen juridische waarschuwingen naar onderzoekers die dit beleid naleven.

Wijzigingen in dit beleid

Breathfulness behoudt zich het recht voor dit beleid te allen tijde te wijzigen. De meest recente versie is altijd beschikbaar op breathfulness.app/vulnerability-disclosure. Vermeld de datum van de versie die van toepassing was op het moment van jouw melding.

Contact

E-mail: security@breathfulness.app
Verwerkingstermijn: 3 werkdagen voor ontvangstbevestiging
Taal: Nederlands en Engels worden beide geaccepteerd

---

Vulnerability Disclosure Policy (CVD Policy)

Breathfulness — Version 1.0 — Effective date: 1 April 2026

Introduction

Breathfulness is committed to the security of our app, websites and digital services. Despite our best efforts, vulnerabilities may occasionally exist. If you discover a security issue in one of our systems, we encourage you to report it to us responsibly. This allows us to address the problem quickly and carefully.

Our policy follows the Coordinated Vulnerability Disclosure (CVD) guidelines of the Dutch National Cyber Security Centre (NCSC) and the recommendations of the Digital Trust Center (DTC).

How to Report a Vulnerability

Send your report by email to:

security@breathfulness.app

Where possible, please encrypt your message using our PGP key (available on request). Your report should include at minimum:

• A clear description of the vulnerability
• The URL, system, or screen in the app where the vulnerability was found
• Steps to reproduce the vulnerability (proof of concept)
• Any screenshots, log files, or other supporting material
• Your contact details (name and email address) so we can follow up with you

What to Expect from Us

Step	Timeframe
Acknowledgement of receipt	Within 3 business days
Assessment and initial feedback	Within 10 business days
Resolution or action plan	Within 90 days

We aim to resolve vulnerabilities as quickly as possible. For complex issues that require more time, we will keep you informed of progress. If circumstances make the 90-day timeline infeasible, we will discuss this with you in advance.

After your report has been resolved, we will — with your permission — acknowledge your name or alias as recognition of your contribution.

Scope: What Is Covered by This Policy?

This policy applies to all digital systems owned or operated by Breathfulness, including:

• Mobile apps: the Breathfulness app for iOS and Android
• Websites: breathfulness.app and all subdomains, breathfulness.nl and all subdomains, breathfulness.center and all subdomains
• Backend

Not sure whether a system falls under our ownership? Report it anyway — we will redirect you to the responsible party if applicable.

Out of Scope

The following findings are outside the scope of this CVD policy and will not be treated as vulnerability reports:

• Missing or non-optimal HTTP security headers (such as CSP, X-Frame-Options, HSTS) without a demonstrable exploitation scenario
• Version numbers disclosed in HTTP headers, HTML source, or meta tags (without direct exploitability)
• Theoretical vulnerabilities without a working proof of concept or realistic attack scenario
• WordPress default functionality such as the accessibility of wp-login.php or the presence of xmlrpc.php on our marketing sites (unless demonstrable abuse is possible)
• Brute-force attacks or login attempts performed by you during testing
• Self-XSS (cross-site scripting that only affects the attacker themselves)
• Denial-of-service (DoS/DDoS) attacks or tests that affect the availability of services
• Social engineering and phishing targeting Breathfulness employees or users
• Vulnerabilities in third-party software and services such as Firebase, RevenueCat, Superwall, Cloudflare, or the App Store/Play Store — please report these to the relevant vendor
• In-app purchase or subscription bypasses via third-party vulnerabilities (RevenueCat, App Store, Play Store)
• SSL/TLS configurations that meet current standards but are considered suboptimal
• Spam or email configuration issues without a security risk
• Physical attacks against our premises or personnel

Rules of Engagement

To qualify for our safe harbor protection (see below), we ask that you:

Do:

• Report vulnerabilities as soon as possible after discovery
• Limit your testing to what is strictly necessary to demonstrate the vulnerability
• Keep all findings confidential until we have resolved the issue and granted permission to disclose
• Delete any access, data, or files obtained during your research once you have reported the issue
• Only test using your own test accounts — never access other users’ accounts or data

Do not:

• Exploit the vulnerability beyond what is necessary to demonstrate impact — a single reproduction step is sufficient
• Install malware, backdoors, or any other malicious software
• Modify data in our systems; do not copy or retain user data beyond what is strictly necessary for your report
• Use automated scanning tools in ways that could harm service availability
• Share the vulnerability with other parties while it remains unresolved
• Disclose the vulnerability via public channels (social media, GitHub, forums, etc.) before we have jointly agreed on a publication date

Safe Harbor Statement

Breathfulness considers security research conducted in accordance with this policy to be authorised and will not take legal action against researchers acting in good faith.

Specifically, this means:

• We will not pursue civil claims (such as damages) against researchers who comply with this policy
• We will not file a police report for access that was obtained lawfully in the context of this research
• We will defend researchers who comply with this policy against third-party legal proceedings, to the extent that can reasonably be expected of us

This protection ceases to apply if the researcher violates the rules of engagement — for example by stealing user data, damaging systems, or disclosing the vulnerability publicly without our permission.

This statement is based on the CVD guidelines of the NCSC and the recommendations of the Digital Trust Center. For questions about its legal scope, contact us at security@breathfulness.app.

Coordination via NCSC

If a reported vulnerability affects multiple organisations or vendors, we or you may escalate coordination to the NCSC. The NCSC acts as a neutral intermediary in such cases. More information: ncsc.nl/contact/kwetsbaarheid-melden

What We Do Not Offer

• We do not offer bug bounty payments. We are unable to provide financial compensation.
• We will not send legal threats to researchers who comply with this policy.

Changes to This Policy

Breathfulness reserves the right to amend this policy at any time. The most current version is always available at breathfulness.app/vulnerability-disclosure. Please note the version date that was in effect at the time of your report.

Contact

Email: security@breathfulness.app
Response time: 3 business days for acknowledgement
Language: Both Dutch and English are accepted

---

This policy is aligned with the NCSC Coordinated Vulnerability Disclosure guideline and the Digital Trust Center recommendations for responsible security disclosure in the Netherlands.