WarDek is a complete compliance suite that combines an OWASP vulnerability scanner with NIS2, AI Act and GDPR compliance modules, specially designed for European SMEs.

Is my company subject to NIS2?

The NIS2 directive applies to essential and important entities in sectors such as energy, healthcare, transport, digital, etc. Use our free simulator to check.

How should I use WarDek reports in an audit?

WarDek reports provide a practical working base for your team, auditor, or compliance preparation. They are not an official certification or legal opinion.

How long does a scan take?

A complete OWASP scan typically takes between 2 and 5 minutes depending on the complexity of your website.

Absolutely. We never store your credentials. Reports are encrypted and you can delete them at any time. We are hosted in France.

Can I try before I buy?

Yes! The Free plan lets you test WarDek with 3 scans per month, no credit card required.

Waar moet security.txt worden gepubliceerd?

Publiceer het op /.well-known/security.txt op uw publieke website zodat geautomatiseerde tools en onderzoekers het voorspelbaar kunnen ontdekken.

Heb ik een bug bounty-programma nodig om security.txt te gebruiken?

Nee. security.txt is nuttig zelfs zonder financiele beloningen. Het biedt een duidelijke route voor verantwoorde melding en stelt verwachtingen voor communicatie.

Hoe vaak moet het bestand worden bijgewerkt?

Beoordeel het telkens wanneer eigenaarschap, meldingskanalen of beleidspagina's veranderen, en vernieuw de vervaldatum volgens een regelmatig schema zodat het bestand geloofwaardig blijft.

Moeten juridische teams het meldingsbeleid beoordelen?

Ja. Juridische, product- en technische eigenaren moeten zich afstemmen op reactieverwachtingen, safe harbor-taal en scopegrenzen voor publicatie.

security.txt Gids — Kwetsbaarheidsmelding voor websites

Waarom een security.txt-bestand belangrijk is

Wanneer een onderzoeker, klant, partner of geautomatiseerd systeem een mogelijke kwetsbaarheid op uw website detecteert, is het moeilijkste vaak niet de bug zelf. Het is weten waar het te melden zonder dagen te verspillen in generieke supportinboxen of openbare social media-berichten. security.txt lost dit ontdekkingsprobleem op met een eenvoudig, gestandaardiseerd ingangspunt.

Voor MKB-bedrijven gaat het niet alleen om er volwassen uit te zien. Het gaat om het verminderen van meldingsdrempels. Hoe sneller legitieme melders het juiste contact kunnen bereiken, hoe waarschijnlijker u problemen privaat oplost, beslissingen documenteert en chaotische afhandeling vermijdt wanneer de bevinding echt is.

Een publiek meldingsingangspunt signaleert ook iets belangrijks intern: beveiligingsmeldingen worden verwacht, getriageerd en toegewezen. Die instelling is gezonder dan doen alsof meldingen nooit zullen komen of dat support onder druk een veilig proces kan improviseren.

Wat een minimaal security.txt-bestand moet bevatten

Het bestand is opzettelijk eenvoudig. Publiceer het op /.well-known/security.txt en houd de inhoud leesbaar voor mensen en machines. U heeft geen groot bug bounty-programma nodig om er baat bij te hebben. U heeft duidelijke contactinformatie, verwachtingen over de scope en een onderhouden proces erachter nodig.

Contact: een gemonitord e-mailadres of veilig meldingskanaal beheerd door mensen die beveiligingsbevindingen snel kunnen routeren.
Expires: een datum die bewijst dat het bestand wordt onderhouden en niet is verlaten.
Policy: een pagina die beschrijft hoe u meldingen behandelt, verwachte reactietijden en basale safe harbor-taal als u die biedt.
Preferred-Languages: optioneel, nuttig wanneer uw operationele team voornamelijk in het Nederlands of Engels werkt.
Acknowledgments of Hiring: optioneel, alleen als ze een echt onderhouden proces weerspiegelen.

Hoe meldingsafhandeling te operationaliseren

Het publiceren van het bestand is het makkelijke deel. Het echte werk is ervoor zorgen dat meldingen niet verdwijnen in een mailbox. Iemand moet de intake beheren, de ernst valideren, reproductiestappen opvragen, remediatie toewijzen en de loop met de melder sluiten wanneer gepast.

Hier falen veel bedrijven. Ze voegen een security.txt-bestand toe voor de show, maar het adres leidt naar een gedeelde inbox die niemand monitort, of naar een juridisch team dat niet weet wat te doen met technische meldingen. Als u niet verantwoord kunt reageren, houd de scope simpel en documenteer realistische reactieverwachtingen.

Koppel meldingsafhandeling aan uw bestaande incident- en kwetsbaarheidsmanagementproces. Zelfs een klein team kan een lichtgewicht workflow uitvoeren: intake, triage, toewijzing, fix, validatie en bewijsarchivering. WarDek's betrouwbaarheid-first-houding past hier goed bij omdat het product is gebouwd rond bewijs, remediatiecontext en auditeerbare besluitvorming in plaats van vage waarschuwingen.

Implementatiestappen voor een productiewebsite

Publiceer eerst het bestand op uw canonieke domein en bevestig dat het bereikbaar is zonder redirects of content-type-verrassingen. Spiegel vervolgens hetzelfde meldingsbeleid op een voor mensen leesbare pagina als u de reactieverwachtingen uitgebreider wilt toelichten.

Test vervolgens de contactworkflow van begin tot eind. Stuur een voorbeeldmelding, bevestig dat de juiste mensen het ontvangen en definieer wie beslist of een bevinding geldig, dubbel, buiten scope of urgent is. security.txt is alleen nuttig als het operationele pad erachter werkt.

Onderhoud het ten slotte. Een verlopen bestand of dode mailbox is erger dan geen bestand omdat het vals vertrouwen schept. Zet vernieuwings- en eigenaarschapscontroles op dezelfde cadans als andere vertrouwensoppervlakken zoals TLS, privacypagina's en compliancedocumenten.

Fouten die het vertrouwen verzwakken

Publiceer geen meldingscontact dat automatische antwoorden stuurt en verder niets. Beloof geen bug bounty als er geen bestaat. Kopieer geen safe harbor-verklaring van een groot platform als uw juridische en technische teams nooit hebben afgestemd hoe externe tests moeten worden afgehandeld.

Vermijd ook het behandelen van security.txt als een compliance-afvinkvakje. De waarde is praktisch: het verkort het pad tussen ontdekking en verantwoorde afhandeling. Wanneer het is gekoppeld aan een echt proces, versterkt het het vertrouwen bij onderzoekers, klanten en interne beheerders.