Responsible Disclosure
Verantwoord omgaan met IT-kwetsbaarheden: Responsible Disclosure
Veiligheid is belangrijk. Daarom stoppen we veel tijd in de beveiliging van onze systemen, producten en diensten. Daar moeten we de medewerkers van ons Network Operations Center voor bedanken: die houden 24 uur per dag alles in de gaten. Het hele jaar lang.
Hoe klein de kans ook is, moeten we altijd rekening houden met het feit dat er een (tijdelijke) zwakke plek in onze beveiliging wordt ontdekt. We spreken dan van een kwetsbaarheid.
Samenwerken aan veiligheid
Kwetsbaarheid gevonden op onze website? Of is er volgens jou iets niet aan de haak op ons netwerk of in een van onze producten of diensten? Geef dit dan aan ons door, zodat we meteen maatregelen kunnen nemen. We zijn altijd blij met je aandacht, want zo maken we samen onze systemen nog veiliger en beter.
Zo kun je ons helpen
Stuur een e-mail met je bevindingen, voorbeelden en aanvullende informatie naar [email protected]. Houd rekening met het volgende:
- We ontvangen het liefst zoveel mogelijk informatie om het probleem te kunnen reproduceren. Dit helpt ons om het probleem snel op te sporen en te verhelpen. Denk bijvoorbeeld naast een omschrijving van het probleem ook aan het IP-adres of de URL van het desbetreffende systeem, de dag en het tijdstip.
- We willen graag contact met je opnemen. Laat daarom altijd je contactgegevens achter, zoals je e-mailadres of telefoonnummer. Blijf je liever anoniem? Geen probleem.
- Voorkom een aangifte en maak geen misbruik van een kwetsbaarheid in onze beveiliging, bijvoorbeeld door je datalimiet te overschrijven, of onnodig kwetsbare data te downloaden, wijzigen of verwijderen. Meer weten? Lees alles over responsible disclosure in onze gedragscode.
- Deel de kwetsbaarheid niet met anderen zolang we het probleem niet hebben opgelost.
- Wis alle (vertrouwelijke) data die je hebt verkregen nadat je de kwetsbaarheid met ons hebt gedeeld.
- Inzet van social engineering of aanvallen op de fysieke beveiliging, spam runs, (bruteforce) hacking tools, malware en DDoS zijn nadrukkelijk niet toegestaan.
- Onze gedragscode responsible disclosure is van toepassing op het melden van een kwetsbaarheid.
Melding gedaan. Wat nu?
Binnen drie dagen sturen we je een reactie met een beoordeling over de mogelijke kwetsbaarheid. We houden je op de hoogte over de vorderingen die we maken, behalve als we niet verplicht zijn dit te doen.
Je melding wordt altijd vertrouwelijk behandeld. Dat betekent dat we je persoonlijke gegevens nooit delen met anderen, behalve als we daartoe wettelijk verplicht zijn.
Publicaties en beloningen
Verschijnt er na het oplossen van de kwetsbaarheid een (gecoördineerde) publicatie? Dan worden wij daarin graag betrokken. En als wij zelf een bericht over het voorval publiceren, kun jij als je dat wilt worden genoemd als de ontdekker.
We zijn je erg dankbaar voor je oplettendheid. Daarom kun je rekenen op een passende beloning (geen geldbedrag), die wordt bepaald op basis van de omvang en kwaliteit van de melding. Mensen die voor of in opdracht van Caiway (of DELTA Fiber Nederland) werken hebben hier geen recht op, maar maken gebruik van het internet meldingsysteem.
Overige afspraken
Geef je melding door in het Nederlands of Engels. Het meldpunt is niet bedoeld voor het melden van malware (virussen, adware, ransomware), (vermoedelijke) fraude, spam, phishing of het indienen van een klacht over onze dienstverlening. Dat laatste doe je bij onze klantenservice.