Responsible Disclosure Beleid
Responsible Disclosure Beleid
SuitIT vindt het essentieel dat haar ICT-systemen veilig zijn en streeft een hoge beveiliging daarvan na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt.
Over het melden van zwakke plekken in IT-systemen heeft het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie een leidraad gemaakt. Onze regels zijn op die leidraad gebaseerd.
Kwetsbaarheden in IT-systemen van SuitIT gevonden?
Indien je een zwakke plek in één van de IT-systemen van SuitIT hebt gevonden, hoort onze Privacy&Security Officer dit graag. Op die manier kan SuitIT zo snel mogelijk de benodigde maatregelen nemen om de gevonden kwetsbaarheid te verhelpen. Om op een verantwoorde wijze om te kunnen gaan met gevonden kwetsbaarheden in de SuitIT IT-systemen, zijn er afspraken. Hieraan mag je SuitIT houden wanneer je een zwakke plek aantreft in een van de systemen.
SuitIT vraagt je:
- Je bevindingen te mailen naar [email protected].
- De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
- De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
- Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
- Geef s.v.p. voldoende informatie om het probleem te reproduceren zodat SuitIT het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Laat uw contactgegevens achter te zodat SuitIT met u in contact kan treden om samen te werken aan een veilig resultaat.
Vermijd in elk geval de volgende handelingen:
- Het aanbrengen van veranderingen in het systeem.
- Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
- Het gebruik maken denial-of-service of social engineering.
- Het plaatsen van malware.
- Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
Wat je van ons mag verwachten:
- SuitIT behandelt een melding vertrouwelijk en deelt persoonlijke gegevens, niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- SuitIT reageert binnen drie werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
- SuitIT houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
- SuitIT lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
- SuitIT biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren. Het moet hierbij wel gaan om een voor SuitIT nog onbekend en serieus beveiligingsprobleem.
Indien je bij de melding van een door jouw geconstateerde kwetsbaarheid in een ICT-systeem van SuitIT aan bovenstaande voorwaarden voldoet, zal SuitIT geen juridische consequenties verbinden aan deze melding.
- In onderling overleg kan SuitIT, indien je dit wenst, je naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
Volgens de regels
Tijdens je onderzoek kan het zijn dat je handelingen uitvoert die strafbaar zijn. Houd je je aan de regels voor het melden van zwakke plekken in onze IT-systemen, dan dienen wij geen aangifte of schadeclaim in.