wird überprüft von der Initiative-S

Samenwerking voor verbeterde veiligheid

Bij Trust in People nemen wij de veiligheid van gebruikers serieus en wij streven er naar om u van een veilig gebruik van onze websites te verzekeren. Bij een juiste melding zullen wij alle gerechtvaardigde meldingen van zwakke plekken in de beveiliging snel onderzoeken en trachten om mogelijke problemen op te lossen. Wij hebben deze ‘Responsible Disclosure Policy’ vastgesteld om meldingen te stimuleren.

Wij onderkennen de belangrijke rol van beveiligingsonderzoekers en onze gebruikers in het beveiligd houden van Informatiebeveiliging Nederland en van onze opdrachtgevers. Als u denkt dat u een zwakke plek heeft gevonden, willen wij met u samenwerken om dit zo spoedig mogelijk te onderzoeken. Stuur ons a.u.b. zo veel mogelijk informatie om ons de aard en omvang van het mogelijke probleem beter te doen begrijpen.

Verantwoord beleid inzake bekendmaking
Indien u een zwakke plek op de site of het product ontdekt, wordt u verzocht dit aan ons te melden aan de hand van de onderstaande richtlijnen. Als u ons een redelijke termijn geeft om te reageren op uw melding alvorens informatie bekend te maken en als u de nodige inspanningen verricht om schendingen van privacy, vernietiging van data en onderbreking of verslechtering van onze dienst tijdens uw onderzoek te voorkomen, zullen wij geen rechtszaak tegen u beginnen of justitie verzoeken onderzoek naar u te doen, tenzij wij gronden hebben om te geloven dat uw handelen niet te goeder trouw is.

Richtlijnen voor verantwoorde bekendmaking
– Deel het beveiligingsprobleem met ons zonder dit op message boards, mailing lists en andere fora openbaar te maken.
– Gun ons een redelijke termijn (tenminste 30 dagen vanaf het moment waarop wij uw melding in deze procedure ontvangen) om te reageren op het probleem alvorens het aan anderen bekend te maken.
– Verstrek de volledige gegevens van het beveiligingsprobleem, inclusief Proof-of-Concept URL, de details van het systeem waar de tests zijn uitgevoerd en gedetailleerde weergave van de stappen die u heeft genomen.
Verricht geen beveiligingsonderzoek waarbij het volgende betrokken is:
– Mogelijke of feitelijke schade aan gebruikers, systemen, data of applicaties.
– Gebruik van een exploit
◦ Om data van andere gebruikers te bekijken,
◦ waarbij de corruptie van data betrokken is,
◦ dat functies uitvoert die onze diensten kunnen verstoren.
– Het gebruik van port scans op onze netwerkblokken of het uitvoeren van DDoS aanvallen.

Hoe melden?
Wij verzoeken u een mogelijke kwetsbaarheid, datalek, spam of ander misbruik zo snel als mogelijk te melden bij onze directie via de gegevens op onze contactpagina. Bij voorkeur ontvangen wij deze informatie versleuteld met PGP of GPG.
Als u denkt dat u een zwakke plek heeft ontdekt in de beveiliging in een website die door Informatiebeveiliging Nederland wordt gehost, verzoeken wij u een gedetailleerde toelichting van de zwakke plek naar bovenstaand emailadres te sturen. Vergeet niet om de volledige gegevens van het beveiligingsprobleem op te nemen, inclusief Proof-of-Concept URL, de details van het systeem waar de tests zijn uitgevoerd en een gedetailleerde weergave van de stappen die u heeft doorlopen.
Geef a.u.b. ook in de e-mail aan op welke manier de zwakke plek kwetsbaar is. Bijvoorbeeld via:
– Authentication/Authorization
– Cross-Site Scripting (XSS)
– Cross-site request forgery (CSRF)
– Injection (XML, SQL)
– Information leakage

Slotbepalingen
Indien gebruikers/particulieren zich niet aan de bovengenoemde gedragslijnen houden, behouden wij het recht voor om geëigende (juridische) stappen te nemen en/of aangifte te doen.
We kunnen dit beleid van tijd tot tijd herzien. Herzieningen zullen op deze site bekend worden gemaakt.
Deze Gedragslijnen voor Zwakke plekken in de Beveiliging zijn onderworpen aan Nederlands recht.

Responsible Disclosure Policy versie 1 d.d. 1 juli 2013