We vinden het belangrijk dat onze systemen goed beveiligd zijn. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat er een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek in één van onze systemen ontdekt, horen we dit natuurlijk graag van u, zodat er snel gepaste maatregelen kunnen worden genomen. 

Door het maken van een melding verklaart u zich als melder akkoord met de afspraken hieronder over Coordinated Vulnerability Disclosure en zullen we uw melding volgens de afspraken hieronder afhandelen.
 

We vragen het volgende van u:

  • Meld de kwetsbaarheid alstublieft zo snel mogelijk na ontdekking.
  • Mail naar info@publiosa.nl. Vermeld dat u een zwakte in het systeem heeft gevonden. Vertel wat u precies doet waardoor de fout naar voren komt, stap voor stap, zodat wij dit kunnen herhalen. Op deze manier kunnen we het probleem zo snel mogelijk oplossen. Meestal is het internetadres of de URL van het systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij ingewikkelde kwetsbaarheden kan meer aanvullende informatie nodig zijn.
  • We luisteren graag naar tips die helpen om het probleem op te lossen. Houd het hierbij op algemene en bekende informatie over de kwetsbaarheid die u gevonden heeft.
     

Wat u mag verwachten:

  • Publiosa kan u een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de beloning verschillen. Het moet hierbij wel gaan om een nog onbekend en serieus beveiligingsprobleem.
  • Indien u volgens bovenstaande stappen te werk gaat, doen we geen strafrechtelijke aangifte tegen u en spannen geen civielrechtelijke zaak tegen u aan. Als blijkt dat u een onderstaande voorwaarde heeft geschonden, kunnen we alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
  • We behandelen een melding vertrouwelijk en deelt geen persoonlijke gegevens van een melder met derden zonder diens toestemming, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
  • We sturen u binnen twee werkdagen een ontvangstbevestiging.
  • We reageren binnen drie werkdagen op een melding met een eerste beoordeling van de melding en (als het mogelijk is) een verwachte datum voor een oplossing.
  • We lossen het beveiligingsprobleem zo snel mogelijk op. Daarbij proberen we om u op de hoogte te houden van de voortgang.
  • In overleg kan worden bepaald of en op welke manier er over het probleem wordt gepubliceerd, nadat het is opgelost.

De volgende handelingen zijn niet toegestaan:

  • Het plaatsen van malware op onze systemen of op die van anderen.
  • Het zogeheten bruteforcen van toegang tot systemen, behalve wanneer dat noodzakelijk is om te laten zien dat de beveiliging op dit vlak ernstig tekort schiet.
  • Het gebruik maken van social engineering, behalve wanneer dit noodzakelijk is om te laten zien dat de beveiliging op dit vlak ernstig tekort schiet.
  • Het openbaar maken of aan derden doorgeven van informatie over het beveiligingsprobleem voordat het probleem is opgelost.
  • Het uitvoeren van meer stappen dan nodig om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u ook bijvoorbeeld alleen een directory listing noemen. Het veranderen of verwijderen van gegevens in het systeem is nooit toegestaan.
  • Het gebruik maken van technieken waarmee de bereikbaarheid en/of bruikbaarheid van het systeem of diensten worden verminderd (DoS-aanvallen).
  • Het op wat voor manier dan ook misbruik maken van de kwetsbaarheid.