Een beveiligingsprobleem ontdekt? Meld het direct

U meldt een beveiligingsprobleem gemakkelijk door ons te mailen. Versleutel uw bevindingen met onze PGP-key (zie verderop in deze tekst). Zo voorkomen we dat de informatie in verkeerde handen valt.

Wij lossen een probleem graag zo snel mogelijk op. Vaak is het voldoende om het IP-adres of de URL van het getroffen systeem, een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen met ons te delen. Maar bij complexere problemen kan meer informatie nodig zijn.

Let op: ons beleid voor responsible disclosure is geen uitnodiging om onze systemen uitgebreid actief te scannen om zwakke plekken te ontdekken. Wij monitoren ons bedrijfsnetwerk continu en daarom is de kans groot dat een scan zal worden onderzocht. Hierdoor worden mogelijk onnodige kosten gemaakt.

Mogelijk voert u tijdens het onderzoek handelingen uit die strafbaar zijn. Als u zich aan onderstaande voorwaarden houdt en te goeder trouw en zorgvuldig handelt, zullen wij geen juridische stappen tegen u ondernemen.

• Gebruik geen geautomatiseerde tooling om beveiligingsproblemen te ontdekken.
• Misbruik het probleem niet: download bijvoorbeeld niet meer data dan nodig is om het lek aan te tonen en verander of verwijder geen gegevens. Ben extra terughoudend als het om persoonsgegevens gaat.
• Verspreid gevonden gegevens niet.
• Plaats geen backdoor om een beveiligingsprobleem aan te tonen. U kunt hier namelijk aanvullende schade mee aanrichten en onnodige veiligheidsrisico’s lopen of creëren.
• Deel het beveiligingsprobleem niet met anderen totdat het is opgelost.
• U maakt de melding volgens de bovenstaande afspraken.

Wij onderzoeken elke melding zo snel mogelijk. Binnen 2 werkdagen na melding ontvangt u onze eerste reactie. Vervolgens informeren wij u binnen uiterlijk 10 werkdagen over onze beoordeling en de verwachte datum voor een oplossing. Wij houden u in de tussentijd op de hoogte van de voortgang.

• Elke melding wordt vertrouwelijk behandeld als u te goeder trouw en zorgvuldig handelt en zich aan de bovenstaande voorwaarden houdt. Wij delen uw persoonlijke gegevens dan niet zonder uw toestemming met derden, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Bijvoorbeeld als justitie ons dit vraagt.
• U kunt anoniem of onder pseudoniem melding maken. Dit betekent wel dat wij dan geen contact met u kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van de oplossing , publicatie of de eventuele beloning voor de melding.
• In berichtgeving over het beveiligingsprobleem vermelden wij (als u dat wenst) uw naam als de ontdekker van het probleem.
• Wilt u zelf iets publiceren over het beveiligingsprobleem nadat het is opgelost? Wij worden hier graag van op de hoogte gesteld.

De handtekening van deze publieke sleutel is ID 462C 5A8B 6F1C D73B, Fingerprint: 3CE1 446A 2126 EE8D F462 92B2 462C 5A8B 6F1C D73B.

Dit is de PGP publieke sleutel:

-----BEGIN PGP PUBLIC KEY BLOCK-----

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A3zN
-----END PGP PUBLIC KEY BLOCK-----

Deze responsible disclosure regeling is gebaseerd op de Leidraad Responsible Disclosure van het NCSC.