Coordinated Vulnerability Disclosure (CVD) beleid

Inleiding

Duthler Associates vindt de veiligheid van haar systemen belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Een zwakke plek kan per ongeluk ontdekt worden. Ook kan er bewust naar gezocht zijn. Ons coordinated vulnerability disclosure-beleid is niet bedoeld als uitnodiging om onze systemen uitgebreid te scannen op zwakke plekken. Wij monitoren onze systemen zelf continue op zwakke plekken en een melding zou kunnen leiden tot onnodig werk en kosten. Om die reden roepen we daarom niet op tot actieve hack-pogingen. Echter, zodra u kwetsbaarheden of zwakke plekken aantreft, stellen wij het wel op prijs als u ons daarover zo snel mogelijk informeert.

Graag vernemen wij

Uw signaal geeft ons namelijk de mogelijkheid onmiddellijk passende, aanvullende en afdoende beheers- en beveiligingsmaatregelen te treffen, zodat we de gegevens van onze cliënten en onze medewerkers kunnen beschermen en de vertrouwelijkheid, betrouwbaarheid en beschikbaarheid van de gegevens kunnen borgen. 

Wij willen daarin graag met u samenwerken en een bestendige relatie met u opbouwen. 

Wij maken daarbij gebruik van het MYOBI Vertrouwensnetwerk, een trusted third party.

Wij vragen u

  • Uw bevindingen in grote lijnen via de website van MYOBI aan ons te sturen. Gebruik deze link;
  • U bij MYOBI te laten registeren. Vervolgens start u het draaiboek CVD en informeert u ons veilig over de kwetsbaarheid, desgewenst uw analyse van de mogelijke impact op onze bedrijfsvoering en uw advies hoe de kwetsbaarheid weg te nemen;
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen;
  • De kwetsbaarheid niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via de kwetsbaarheid direct na het oplossen ervan te wissen;
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden; en
  • Voldoende informatie te geven om de kwetsbaarheid te reproduceren, zodat wij deze zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven

  • Wij bevestigen uw melding binnen een dag en reageren binnen twee dagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing;
  • Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij in beginsel geen aangifte bij de politie tegen u doen en ook anderszins geen juridische stappen tegen u ondernemen;
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonsgegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk;
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem;
  • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker; 
  • Als dank voor uw hulp bieden wij een beloning aan voor elke relevante melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding; en
  • Wij maken graag aanvullende afspraken over de bovenstaande punten.

Ten slotte

Wij streven er naar om alle zwakke plekken in de getroffen beheers- en beveiligingsmaatregelen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.