085 4011 274 info@parell.nl

Coordinated Vulnerability Disclosure

Kwetsbaarheid melden

Als een organisatie gespecialiseerd in informatiebeveiliging, privacy en datamanagement hechten wij veel waarde aan de beveiliging van onze ICT-systemen en onze data. Ondanks onze expertise kan het mogelijk zijn dat er een kwetsbaarheid in een systeem te vinden is. Heb je een kwetsbaarheid ontdekt? Dan horen wij dat graag zo snel mogelijk.

In deze Coordinated Vulnerability Disclosure (voorheen Responsible Disclosure) lees je wat wij van je vragen en wat je van ons kan verwachten.

Wat we vragen

  • Als je een kwetsbarheid hebt gevonden, dan maak je geen misbruik van deze kwetsbaarheid door meer data in te zien of te downloaden dan noodzakelijk is. Een directory listing is al voldoende bewijs voor toegang tot een systeem;
  • Je verwijdert of verandert geen data;
  • Je deelt geen vertrouwelijke informatie met anderen;
  • Je geeft ons voldoende informatie om de kwetsbaarheid te reproduceren zodat wij die zo snel mogelijk kunnen oplossen;
  • Heb je tips voor het oplossen van het probleem? Ook dat horen we graag van je.

Niet toegestane handelingen

Dit beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid te scannen om zwakke plekken te ontdekken. Daarnaast maak je ook geen gebruik van kwetsbaarheden in de fysieke beveiliging of applicaties van leveranciers. Onderzoek mag niet leiden tot een verstoring van onze diensten.

Voorbeelden van handeling die NIET toegestaan zijn:

  • Social engineering aanvallen (waaronder phishing);
  • DDoS-aanvallen;
  • Het aanbrengen van wijzigingen in systemen en applicaties die wij zelf in beheer hebben of bij leveranciers in beheer zijn;
  • Het gebruiken van exploits of het plaatsen van malware op onze systemen;
  • Andere handelingen met negatieve gevolgen voor de beschikbaarheid, integriteit of vertrouwelijkheid van onze systemen en data.

 

 

Openbaar maken van de kwetsbaarheid

Het openbaar maken van een kwetsbaarheid is pas toegestaan als de melder en Parell zijn overeengekomen dat de kwetsbaarheid openbaar gemaakt kan worden, alle betrokkenen goed zijn geïnformeerd en wij hebben aangegeven dat de kwetsbaarheid is opgelost.

Hoe een kwetsbaarheid te melden

Stuur zo snel mogelijk na het ontdekken van de kwetsbaarheid een algemene e-mail zonder inhoudelijke informatie naar info@parell.nl

Wij starten daarna meteen een versleuteld gesprek met je op. Vergeet dan ook niet om contactgegevens achter te laten zodat we samen met jou de kwertsbaarheid op kunnen pakken.

Wat je van ons mag verwachten

  • Wij sturen je een ontvangstbevestiging per e-mail;
  • Wij reageren binnen 5 werkdagen met een beoordeling van de melding en eventueel een verwachte datum voor een oplossing;
  • Indien je aan alle bovenstaande voorwaarden voldoet, zullen wij geen strafrechtelijke aangifte tegen je doen en ook geen civelrechtelijke zaak tegen je aanspannen;
  • In onderling overleg kunnen we – indien je dit wenst – je naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijf je anoniem;
  • In onderling overleg kan worden bepaald of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.

Nog vragen over ons Coordinated Vulnerability Disclosure?

Neem contact op