Responsible Disclosure

Wy nimme de feiligens fan ús systemen en brûkers tige serieus en binne fan doel it te ferbetterjen. Nettsjinsteande alle foarsoarchsmaatregels is it noch altyd mooglik om kwetsberheden yn ús systemen te ûntdekken. Om kweade akteurs ien stap foar te bliuwen, riede wy elkenien dy't in kwetsberens yn ús systemen ûntdekt oan om dit oan ús te melden.

Troch in rapport te meitsjen, geane jo, as rapporteur, akkoard mei de folgjende ôfspraken oangeande Responsible Disclosure en wy sille jo rapport behannelje neffens de ûndersteande ôfspraken.

Wy freegje it folgjende fan jo:

  • Dien it rapport sa gau mooglik yn nei it ûntdekken fan in mooglike kwetsberens.
  • Om te melden, brûk asjebleaft it oanwiisde formulier "Rapport Responsible Disclosure " .
  • Jou asjebleaft genôch ynformaasje om it probleem te reprodusearjen, sadat wy it sa gau mooglik oplosse kinne.
  • Wy ferwolkomje suggestjes dy't ús helpe kinne om it probleem op te lossen. Beheine jo suggestjes asjebleaft ta ferifiearbere feiten yn ferbân mei de kwetsberens dy't jo identifisearre hawwe, en foarkom dat jo advys reklame makket foar spesifike (feiligens)produkten.
  • Jo foarkomme privacy-skendingen, fermindering fan brûkersûnderfining, ûnderbrekking fan produksjesystemen en gegevensferneatiging tidens feiligenstests;
  • Diel it probleem net mei oaren oant it oplost is.

Wat is net tastien:

Foar de feiligens fan ús brûkers, meiwurkers, it ynternet yn 't algemien, en jo as befeiligingsûndersiker, binne de folgjende aksjes net tastien:

  • Testapplikaasjes oars as dit domein, nammentlik "shift2.nl";
  • Aksjes útfiere dy't fierder geane as wat strikt needsaaklik is om it feiligensprobleem oan te toanen en te melden.
  • Sosjale technyk en/of fysike testen (bygelyks phishing, tailgating);
  • It brûken fan techniken dy't de beskikberens en/of brûkberens fan it systeem of tsjinsten ferminderje (bygelyks DoS-oanfallen).
  • It pleatsen fan malware.
  • Gegevens yn it systeem kopiearje, wizigje of wiskje.
  • Iepenbiering of iepenbiering fan ynformaasje oer de feiligenskwetsberens oan tredden foardat it oplost is.

Wat kinne jo fan ús ferwachtsje:

  • Wy sille mei jo gearwurkje om de kwetsberens te begripen en gau op te lossen (ynklusyf in earste befêstiging fan jo rapport binnen 72 oeren nei yntsjinjen);
  • Wy sille jo op 'e hichte hâlde fan ús ynspanningen om de kwetsberens op te lossen;
  • As jo ​​oan al dizze betingsten foldogge, sille wy gjin strafrjochtlike klacht tsjin jo yntsjinje of boargerlike prosedueres tsjin jo begjinne.

Hawwe jo fragen en/of opmerkings oer dit Responsible Disclosure , dan kinne jo kontakt opnimme mei Emiel Duinisveld (Chief Information Security Officer by Shift2)