Responsible Disclosure
Wij hechten veel waarde aan de veiligheid en beveiliging van onze systemen. Mocht je ondanks onze inspanningen op dit gebied een zwakke plek in (een van) onze systemen aantreffen dan horen wij dit graag zo snel mogelijk, zodat wij zo snel mogelijk maatregelen kunnen treffen.
Wij verzoeken je:
- De kwetsbaarheid zo snel mogelijk te melden via [email protected] en je bevindingen te versleutelen met onze PGP key.
- Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem en deze kennis niet te misbruiken door bijvoorbeeld meer gegevens te downloaden dan nodig dan nodig om het beveiligingsprobleem aan te tonen, malware te plaatsen of gegevens in een systeem in te zien, te kopiëren, te wijzigen of te verwijderen.
- Geen informatie over het beveiligingsprobleem met anderen te delen totdat het probleem is opgelost.
- Alle via het lek verkregen vertrouwelijke gegevens zo snel mogelijk en in ieder geval direct na het oplossen van het probleemte wissen.
- Geen aanvallen te doen op fysieke beveiliging.
- Geen gebruik te maken van social engineering of (distributed) denial of service.
- Voldoende informatie te geven om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.
Wij zullen:
- Binnen drie werkdagen op uw melding reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing,
- Geen juridische consequenties verbinden aan de melding indien je aan bovenstaande voorwaarden hebt voldaan.
- De melding vertrouwelijk behandelen en geen persoonsgegevens zonder toestemming aan derden doorgeven, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen of aan een rechterlijke uitspraak te voldoen.
- Je op de hoogte houden van de voortgang van het oplossen van het probleem.
- Indien gewenst je naam vermelden als ontdekker van gemelde kwetsbaarheid in berichtgeving over het gemelde probleem.
- Wij streven ernaar elk probleem binnen een zo kort mogelijke termijn op te lossen. We worden graag betrokken bij een eventuele publicatie over de gemelde kwetsbaarheid na deze is verholpen.