Veiligheid

Responsible disclosure Scalda

Bij Scalda vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks de zorg voor de beveiliging van de systemen kan een zwakke plek voorkomen. Je kunt deze zwakke plekken bij ons melden.

Samenwerken

Als je een zwakke plek in een van onze systemen vindt, dan vernemen wij dit graag. We kunnen dan zo snel mogelijk maatregelen treffen. Wij werken graag met je samen om onze gebruikers en systemen beter te kunnen beschermen.

Geen uitnodiging tot actief scannen
Onze zogenoemde Responsible Disclosure is geen uitnodiging om ons netwerk of onze systemen uitgebreid actief te scannen op zwakke plekken. Doordat wij zelf ons organisatie netwerk scannen is de kans groot dat we je scan oppikken, dat ons Computer Emergency Response Team (CERT) onderzoek doet, wat mogelijk leidt tot onnodige kosten.

Strafrechtelijke vervolging
Het is mogelijk dat je tijdens je onderzoek handelingen uitvoert die volgens het strafrecht strafbaar zijn. Heb je je aan onderstaande voorwaarden gehouden, dan ondernemen wij geen juridische stappen tegen je. Het Openbaar Ministerie heeft echter altijd het recht om zelf te beslissen of het je strafrechtelijk vervolgt. Lees hierover de beleidsbrief van het Openbaar Ministerie (PDF).

Verzoek aan jou

  • Mail je bevindingen zo snel mogelijk naar [email protected]
    Versleutel je bevindingen met onze PGP key (fingerprint E899 B28E 755F D393 6AED DBDB 3171 6836 7C1C 899A) om te voorkomen dat de informatie in verkeerde handen valt.
  • Misbruik de gevonden zwakheid niet door bijvoorbeeld:
    - meer data te downloaden dan nodig is om het lek aan te tonen;
    - de gegevens te veranderen of verwijderen.
  • Wees extra terughoudend bij persoonsgegevens.
  • Deel de zwakheid niet met anderen totdat deze is opgelost.
  • Maak geen gebruik van aanvallen op fysieke beveiliging of applicaties van Scalda en/of derden. 
  • Maak geen gebruik van social engineering, (distributed) denial-of-service, elke vorm van brute-force aanval, malware, of spam of andere toepassing die bewust schade berokkenen aan systemen of betrokkenen van Scalda.
  • Geef voldoende informatie om de zwakheid te reproduceren, zodat wij deze zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Onze belofte

  • Wij reageren binnen drie werkdagen met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij behandelen je melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Wij houden je op de hoogte van de voortgang van het oplossen van de zwakheid.
  • Je kunt anoniem of onder een pseudoniem melden. Wij kunnen dan echter geen contact met je opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of de eventuele beloning voor de melding.
  • In berichtgeving over de gemelde zwakheid zullen wij, als je dit wilt, je naam vermelden als de ontdekker van de kwetsbaarheid.
  • Wij kunnen je een beloning geven voor je onderzoek, maar zijn hiertoe niet verplicht. Je hebt dus niet zonder meer recht op een vergoeding. De vorm van deze beloning staat niet van tevoren vast en wordt door ons per geval bepaald. Of we een beloning geven en de vorm waarin dat gebeurt, hangt af van de zorgvuldigheid van je onderzoek, de kwaliteit van de melding en de ernst van het lek. 
  • Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en alle betrokken partijen op de hoogte te houden. Wij zijn graag betrokken bij een eventuele publicatie over de zwakheid, nadat deze is opgelost.
  • Ons beleid valt onder een Creative Commons Naamsvermelding 3.0-licentie. Het beleid is gebaseerd op het voorbeeldbeleid van Floor Terra.