Responsible Disclosure

Home > Responsible Disclosure

Wij beschouwen de veiligheid van onze systemen als een topprioriteit, maar hoeveel moeite we ook steken in systeembeveiliging, er kunnen nog steeds kwetsbaarheden aanwezig zijn.

Als u een kwetsbaarheid in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Wij vragen u:

  • E-mail uw bevindingen zo snel mogelijk naar privacy@presentis.nl. Versleutel uw bevindingen met oplossingen zoals Zivver of Office document met wachtwoord, om te voorkomen dat deze kritieke informatie in verkeerde handen valt;
  • Maak geen gebruik van de kwetsbaarheid of het probleem dat u heeft ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen, wijzigingen aan systemen te maken of door gegevens te wijzigen/verwijderen;
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen;
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden; en
  • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexe kwetsbaarheden is wellicht meer uitleg nodig.

Wat wij beloven:

  • We zullen binnen 3 werkdagen op uw melding reageren met onze evaluatie van de melding en een verwachte datum voor een oplossing;
  • Als u de bovenstaande instructies heeft opgevolgd, zullen we geen juridische stappen tegen u ondernemen met betrekking tot de melding;
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk;
  • We houden u op de hoogte van de voortgang bij het oplossen van het probleem;
  • In de openbare informatie over het gemelde probleem vermelden we uw naam als de ontdekker van het probleem (tenzij u anders wenst); en
  • Als blijk van dank voor uw hulp bieden wij een beloning aan voor elke melding van een beveiligingsprobleem waarvan wij nog niet op de hoogte waren. De hoogte van de beloning (in de vorm van een waardebon) wordt bepaald op basis van de ernst van het lek en de kwaliteit van de melding.

We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.

Ons beleid is gebaseerd op het voorbeeld van Floor Terra (responsibledisclosure.nl)