Responsible Disclosure Policy
Bij Bij Uitstek vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag. Wij kunnen dan zo snel mogelijk maatregelen treffen. Wij willen graag met u samenwerken om onze systemen beter te kunnen beschermen.
- Als u een mogelijke zwakke plek in de systemen van Bij Uitstek heeft ontdekt, vragen wij u uw bevindingen te mailen naar info@bijuitstek.com door middel van een gedetailleerde toelichting van de zwakke plek. Beschrijf het gevonden probleem zo uitgebreid mogelijk. Uw melding wordt door specialisten ontvangen; u kunt technisch jargon gebruiken waar nodig of gewenst. Wij vragen u de zwakke plek niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
- U kunt ervoor kiezen om uw contactgegevens (naam, e-mailadres en eventueel telefoonnummer) toe te voegen of u kunt de melding anoniem doen.
- Een team van beveiligingsexperts onderzoekt uw melding en geeft binnen 10 werkdagen een eerste reactie. Maak het probleem in de tussentijd niet publiek, maar praat met onze experts en geef hen de tijd het probleem op te lossen. Wij laten u weten wat we van uw melding vinden, of we een oplossing gaan toepassen en wanneer we dat doen.
- Bij het onderzoeken van de kwetsbaarheid die u gevonden hebt, verricht u mogelijk handelingen die strafbaar zijn. Als u te goeder trouw, zorgvuldig en volgens de hieronder aangegeven spelregels gehandeld hebt, is er voor Bij Uitstek geen aanleiding om aangifte te doen. Houdt u zich daarom aan de volgende regels wanneer u onderzoek doet:
- Zorg ervoor dat u met de gevonden kwetsbaarheid geen schade aanricht. In geen geval mag uw handelen leiden tot opzettelijke onderbreking van de dienstverlening of tot openbaarmaking van gegevens van Bij Uitstek of haar relaties/klanten.
- Maak geen gebruik van social engineering om toegang te verkrijgen tot een systeem.
- Plaats geen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
- Maak minimaal gebruik van een kwetsbaarheid, doe alleen datgene wat noodzakelijk is om de kwetsbaarheid vast te stellen.
- Wijzig of verwijder geen enkel gegeven van het systeem en wees zo terughoudend mogelijk met het kopiëren van gegevens (als één record genoeg is om het probleem aan te tonen, ga dan niet verder).
- Breng geen systeemveranderingen aan.
- Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen.
- Gebruik geen bruteforce om toegang tot systemen te verkrijgen. Daarbij is immers geen sprake van een kwetsbaarheid, maar alleen van het herhaaldelijk proberen van wachtwoorden.
Het meldpunt is niet bedoeld voor het:
- Indienen van klachten over de dienstverlening.
- Doen van fraudemeldingen en/of vermoedens van fraudemelden van nepmails of phishing e-mails.
- Melden van virussen.
- Indienen van klachten of vragen over de beschikbaarheid van de website.
Uw privacy
Voor de opvolging van de melding kunt u ervoor kiezen om uw contactgegevens (naam, e-mail en eventueel telefoonnummer) aan ons te verstrekken. Wij zullen uw identiteit niet zonder uw instemming aan derden vrijgeven of uw gegevens voor andere doeleinden gebruiken dan om passende opvolging te geven aan uw melding, tenzij daartoe een wettelijke plicht bestaat, bijvoorbeeld bij vordering door justitie. Uw identiteitsgegevens behandelen wij volgens de richtlijnen zoals beschreven in de Wet Bescherming Persoonsgegevens (WBP).
Overige voorwaarden
Met betrekking tot internetveiligheid en privacy is de Nederlandse wetgeving van toepassing. Wij kunnen alleen meldingen aannemen die in het Nederlands of Engels opgesteld zijn. Deze responsible disclosure regeling is tot stand gekomen op basis van de leidraad van het Nationaal Cyber Security Center.