Voorwaarden EASM Dienst PDCS B.V.

 (Versie 14-12-2025)

Wij zijn PDCS B.V. Wij zijn bereikbaar via info@pdcs.nl

Deze voorwaarden zijn van toepassing op de External Attack Surface Monitoring dienst (“EASM dienst”) van PDCS BV (“PDCS”) en vormen een aanvulling op de algemene voorwaarden van PDCS.

Bij tegenstrijdigheid tussen deze bijzondere voorwaarden en de algemene voorwaarden prevaleren deze bijzondere voorwaarden voor zover het de EASM dienst betreft.

1. Omschrijving EASM dienst

De EASM dienst bestaat uit het (geautomatiseerd) inventariseren en monitoren van publiek toegankelijke digitale assets en gerelateerde beveiligingssignalen van Opdrachtgever, binnen de overeengekomen scope.

De EASM dienst kan onder meer bestaan uit: asset discovery, detectie van blootgestelde services, detectie van bepaalde kwetsbaarheden of misconfiguraties, periodieke rapportages en/of alerts richting Opdrachtgever.

2. Inspanningsverplichting en beperkingen

PDCS levert de EASM dienst op basis van een inspanningsverplichting: PDCS spant zich naar beste kunnen in, rekening houdend met de stand van de techniek, de overeengekomen scope en de mogelijkheden van de gebruikte tooling.

Opdrachtgever erkent en aanvaardt dat:

• Niet gegarandeerd kan worden dat alle kwetsbaarheden, blootgestelde assets, misconfiguraties of andere beveiligingsissues worden gevonden of gerapporteerd.

• Er altijd sprake kan zijn van onvolledigheid, false positives (ten onrechte gedetecteerde issues) en false negatives (niet gedetecteerde issues).

De EASM dienst is ondersteunend aan het informatiebeveiligingsbeleid van Opdrachtgever en vervangt niet het eigen ISMS, patchbeleid, logging, SIEM/SOC of andere interne maatregelen.

3. Gebruik van derden en afhankelijkheden

Voor de EASM dienst maakt PDCS gebruik van infrastructuur, scanning componenten, datafeeds en/of cloud diensten van derde partijen.

De beschikbaarheid, performance en kwaliteit van de EASM dienst zijn mede afhankelijk van deze derden, van internet en netwerkverbindingen, DNS infrastructuur en andere factoren buiten de directe invloedssfeer van PDCS.

PDCS streeft naar een hoge beschikbaarheid van de EASM dienst, maar kan geen ononderbroken of foutloze werking garanderen. Eventuele serviceniveaus of uptime percentages zijn, tenzij uitdrukkelijk anders en schriftelijk overeengekomen in een SLA, inspanningsverplichtingen.

4. Scope, identificatie en permissies

De scope van de EASM dienst (bijvoorbeeld domeinen, IP ranges, organisaties, merken, regio’s) wordt schriftelijk vastgelegd in de overeenkomst of bijbehorende scope bijlage.

Opdrachtgever is verantwoordelijk voor het correct en volledig aanleveren van relevante identificatoren (zoals domeinnamen, merken, bedrijfsnamen en IP ranges) en voor het actueel houden hiervan.

Indien de EASM dienst scans of queries richting systemen omvat die onder beheer van derden vallen (bijvoorbeeld hosting of SaaS leveranciers), staat Opdrachtgever ervoor in dat hij over de benodigde toestemmingen beschikt, of deze tijdig verkrijgt.

5. Meldingen, rapportages en opvolging

PDCS zal bevindingen binnen de EASM dienst op een gebruikelijke wijze rapporteren (bijvoorbeeld via een portal, periodieke rapporten of notificaties). De frequentie en vorm van rapportage worden in de overeenkomst of SLA uitgewerkt.

Opdrachtgever blijft te allen tijde zelf verantwoordelijk voor het beoordelen, prioriteren en opvolgen van meldingen, en voor het treffen van passende technische en organisatorische maatregelen.

Het niet (tijdig) opvolgen van meldingen of aanbevelingen van PDCS komt volledig voor risico van Opdrachtgever.

6. Fair use en gebruiksbeperkingen

De EASM dienst valt onder het fair use regime van PDCS: PDCS stelt geen harde limiet aan het aantal meldingen, rapporten of vragen over de EASM dienst, maar verwacht dat het gebruik in redelijke verhouding staat tot het afgenomen abonnement.

Indien sprake is van structureel buitensporig gebruik (bijvoorbeeld extreem hoge volumes ad hoc analyses, constant verzoeken tot herprioritering of maatwerk buiten de afgesproken scope) dat het normale dienstverleningsniveau voor andere klanten verstoort, is PDCS gerechtigd:

• Opdrachtgever te verzoeken het gebruik te normaliseren;

• In overleg met Opdrachtgever aanvullende afspraken of aangepaste tarieven overeen te komen; of

• Bij uitblijven van overeenstemming de EASM dienst te beperken, op te schorten of (gedeeltelijk) te beëindigen.

Misbruik, waaronder het bewust proberen te omzeilen of overbelasten van de gebruikte EASM infrastructuur, leidt tot onmiddellijke opschorting en kan grond zijn voor beëindiging van de overeenkomst.

7. Datagebruik en vertrouwelijkheid

De data die in het kader van de EASM dienst wordt verzameld (zoals gescande hostinformatie, gevonden kwetsbaarheden en configuratiegegevens) wordt behandeld als vertrouwelijke informatie van Opdrachtgever.

PDCS mag geanonimiseerde en geaggregeerde data gebruiken voor statistische doeleinden, kwaliteitsverbetering en productontwikkeling, mits daaruit niet direct of indirect de identiteit van Opdrachtgever of specifieke systemen herleidbaar is.

Voor zover bij de EASM dienst persoonsgegevens worden verwerkt, gelden de tussen partijen gesloten privacy en/of verwerkersafspraken.

8. Aansprakelijkheid specifiek voor EASM

Naast en in aanvulling op de algemene aansprakelijkheidsbepalingen geldt dat PDCS niet aansprakelijk is voor schade die (mede) voortvloeit uit:

• Kwetsbaarheden of incidenten die niet door de EASM dienst zijn gedetecteerd;

• Onjuiste of onvolledige identificatie van assets door onvolledige of foutieve informatie van Opdrachtgever;

• Beslissingen die Opdrachtgever al dan niet neemt op basis van de rapportages van de EASM dienst;

• Storingen, wijzigingen of beperkingen in diensten of infrastructuur van derden waarop de EASM dienst is aangewezen.

De eventuele aansprakelijkheid van PDCS in verband met de EASM dienst blijft onderworpen aan de in de algemene voorwaarden opgenomen beperkingen (bedrag, type schade, termijnen).

9. Duur, beëindiging en overgang

De EASM dienst wordt geleverd voor de duur zoals in de overeenkomst is afgesproken (bijvoorbeeld als onderdeel van een breder abonnement) en wordt automatisch verlengd conform de algemene voorwaarden, tenzij tijdig wordt opgezegd.

Bij beëindiging van de EASM dienst of onderliggende overeenkomst kan PDCS toegang tot de EASM portal en bijbehorende tooling beëindigen. Opdrachtgever is zelf verantwoordelijk om rapportages en exports die hij wil behouden tijdig veilig te stellen.