Responsible-Disclosure
Dit vragen we u
- Meld uw bevindingen zo snel mogelijk via het emailadres:
responsible.disclosure@naris.com - Geef ons voldoende informatie om het probleem te reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Maar bij complexere kwetsbaarheden kan meer nodig zijn
- Laat uw gegevens achter zodat wij contact met u kunnen opnemen. Zo kunnen we samen werken aan een veilig resultaat. U kunt ook iets anoniem melden. Dan kunnen wij u niet op de hoogte houden en afspraken met u maken over de afwikkeling
- Deel uw bevinding niet met anderen totdat het probleem is opgelost
- Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Door bijvoorbeeld:
- Niet meer data op te halen dan nodig is om het lek aan te tonen
- Geen gegevens in te kijken, te verwijderen of aan te passen
- De toegang niet te delen met anderen of
- Geen eigen ‘back-door’ in het systeem te plaatsen
- Wis alle gegevens die u via het beveiligingsprobleem heeft opgehaald, zo snel mogelijk
- Zet geen aanvallen in op
- fysieke beveiliging
- social engineering
- plaatsen van malware
- distributed denial of service
- spam
- applicaties van derden enzovoort
Dit beloven wij
- Wij nemen geen juridische stappen als u zich houdt aan bovenstaande verzoeken
- Wij reageren binnen 3 dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing
- Wij behandelen uw melding vertrouwelijk
- Wij delen uw persoonlijke gegevens niet met derden zonder uw toestemming. Tenzij dat noodzakelijk is om een wettelijke verplichting na te komen
- Wij lossen het probleem zo snel mogelijk op
- Wij houden u op de hoogte van de voortgang van de oplossing
- Wij bepalen in overleg met u of en op welke manier over het probleem wordt gecommuniceerd
- Wij vermelden, als u dit wilt, uw naam als ontdekker in de berichtgeving over het gemelde probleem
Leidraad Nationaal Cyber Security Centrum
Wilt u zwakke plekken in IT-systemen melden? Het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie heeft hierover een leidraad gemaakt.