Responsible Disclosure
Je kunt alle soorten zwakke plekken in onze IT-systemen melden
Bij KWF Kankerbestrijding vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.
Als je een zwakke plek in één van onze systemen hebt gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag samenwerken om onze relaties en onze systemen beter te kunnen beschermen.
Wat kun je melden?
Je kunt alle soorten zwakke plekken in onze IT-systemen melden. Neem a.u.b. altijd zo snel mogelijk contact met ons op.
Hoe maak je een melding?
Je bevindingen kun je mailen naar [email protected]. Versleutel de melding met onze PGP key onderaan deze pagina om te voorkomen dat de informatie in verkeerde handen valt. Na ontvangst van de melding verifiëren onze beveiligingsexperts deze en stellen vast of er daadwerkelijk een kwetsbaarheid is.
Wat doen we met je melding?
Een team van beveiligingsexperts onderzoekt de melding en neemt binnen 3 werkdagen contact met je op. Dat kan gaan over de door jou gevonden zwakke punten, hoe je die hebt gevonden en de vervolgacties.
Wat KWF van jou vraagt
-
Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen,
-
Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen,
-
Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden, en
-
Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Wat wij beloven
-
Als jij je aan bovenstaande voorwaarden hebt gehouden zullen wij geen juridische stappen ondernemen betreffende de melding,
-
Wij behandelen je melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder jou toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk,
-
Wij houden je op de hoogte van de voortgang van het oplossen van het probleem,
-
In berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, je naam vermelden als de ontdekker.
Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.
Volgens de regels
Tijdens je onderzoek kan het zijn dat je handelingen uitvoert die strafbaar zijn. Houd jij je aan de regels voor het melden van zwakke plekken in onze IT-systemen, dan doen wij geen aangifte en dienen wij geen schadeclaim in.
Het is voor jou belangrijk om te weten dat de officier van justitie uiteindelijk altijd zelf beslist of je vervolgd wordt. Wij gaan daar niet over. Of wij nu aangifte doen of niet. Wij kunnen dus niet beloven dat je nooit vervolgd zult worden als je bij jouw onderzoek strafbare feiten begaat.
Over het melden van zwakke plekken in IT-systemen heeft het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie een leidraad gemaakt. Onze regels zijn op die leidraad gebaseerd.
PGP
-----BEGIN PGP PUBLIC KEY BLOCK-----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=n1ls
-----END PGP PUBLIC KEY BLOCK-----