Responsible Disclosure
Bij Accare hechten we veel waarde aan de veiligheid van onze ICT-systemen en streven we naar een hoge mate van beveiliging. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Wanneer je een zwakke plek en/of een beveiligingslek in één van onze systemen vindt, horen wij dit graag van je zodat we zo snel mogelijk maatregelen kunnen treffen.
Ons beleid voor responsible disclosure is geen uitnodiging om ons netwerk uitgebreid actief te scannen om zwakke plekken te ontdekken. Wij willen graag met jou samenwerken om onze systemen beter te kunnen beschermen en deze situatie zo spoedig mogelijk op te lossen. Daarom verzoeken wij je deze informatie met ons te delen.
Wat wij van jou vragen
- De zwakke plek die je hebt gevonden niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te zien, te verwijderen of aan te passen.
- De gegevens of onderdelen van ons softwaresysteem niet te verwijderen of aan te passen.
- Jouw bevindingen niet met anderen te delen totdat het is opgelost.
- Alle vertrouwelijke gegevens die u heeft verkregen via het lek direct na het dichten van het lek te wissen.
- Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
- Ons voldoende informatie te geven (bijvoorbeeld een uitgebreide beschrijving inclusief IP-adressen, logs, hoe te reproduceren, screenshots, etc.) om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen behandelen.
Melding maken
Stichting Z-CERT handelt CVD-meldingen voor Accare af. Op www.z-cert.nl/cvd-melden lees je hoe je de kwetsbaarheid kunt melden, welke voorwaarden er aan jouw CVD-melding worden gesteld en wat je kunt verwachten van de afhandeling van jouw melding.
Na een melding
Wij reageren binnen drie werkdagen op jouw melding met onze beoordeling van jouw melding en een verwachte datum voor een oplossing. We behandelen jouw melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Ook zullen we jou op de hoogte houden van de voortgang van het oplossen van het probleem.
Ons doel
Wij streven ernaar om alle ICT-problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.
Wijzigingen
Wij behouden ons het recht voor om dit beleid van tijd tot tijd te herzien. Controleer daarom met enige regelmaat onze website voor de laatste versie van onze Responsible Disclosure.