Responsible disclosure

Wat te doen als u zwakke plekken in onze beveiliging ontdekt?

Responsible disclosureVan Aetsveld hecht grote waarde aan de veiligheid van onze systemen. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Wij willen graag met u samenwerken om onze systemen beter te kunnen beschermen. Daarom roep wij u op tot responsible disclosure als u een zwakke plek in één van onze systemen heeft gevonden. Daarmee meldt u op verantwoorde wijze een beveiligingsprobleem aan ons. Als u denkt dat er iets mis is met een van onze systemen, horen wij dit graag van u. We zullen dan zo snel mogelijk maatregelen treffen.

Wat als u een beveiligingsprobleem aantreft?

Mocht u zwakke plekken in onze systemen ontdekken, dan vragen wij u om:

  • uw bevindingen te mailen naar info@aetsveld.nl. Als het kan, versleutel uw bevindingen dan, om te voorkomen dat de informatie in verkeerde handen valt;
  • voldoende informatie te geven, zodat wij het probleem reproduceren. Daarmee helpt u ons het zo snel mogelijk op te lossen. Meestal is dat het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid;
  • uw contactgegevens aan ons door te geven, zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter. Wij verwijderen deze informatie uit onze systemen nadat de kwetsbaarheid onderzocht en/of verholpen is;
  • de melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen;
  • de informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost;
  • verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem, door geen handelingen te verrichten die verder gaan dan noodzakelijk voor het aantonen van het beveiligingsprobleem.

Wat vragen wij van u bij het signaleren van een beveiligingsprobleem?

Wij vragen u om onderstaande handelingen te vermijden:

  • Het plaatsen van malware;
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem;
  • Het aanbrengen van veranderingen in het systeem;
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen;
  • Het gebruik maken van het zogeheten “brute forcing” van toegang tot systemen;
  • Het gebruik maken denial-of-service of social engineering.

Wat kunt u van ons verwachten?

Als u bij de melding bij ons doet:

  • behandelen wij uw melding vertrouwelijk en delen persoonlijke gegevens niet zonder toestemming van u met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is;
  • kunnen we in onderling overleg, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid;
  • sturen wij u binnen vijf werkdagen een ontvangstbevestiging;
  • reageren wij binnen vijf werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing;
  • houden wij u op de hoogte van de voortgang van het oplossen van het probleem;
  • kan overleg in onderling overleg worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.