Spinae Logo

Contact

Responsible Disclosure Policy

Responsible Disclosure Policy

Spinae BV vindt het belangrijk dat haar informatie en systemen veilig zijn. Ondanks onze zorg voor de beveiliging van deze systemen kan het voorkomen dat er toch een kwetsbaarheid aanwezig is.


Als u een kwetsbaarheid ontdekt in één van onze systemen, vragen wij u ons hiervan op de hoogte te stellen zodat wij zo snel mogelijk maatregelen kunnen nemen. Wij willen u vragen ons te helpen onze klanten en onze systemen beter te beschermen.


Spinae heeft daarom gekozen voor een beleid van gecoördineerde openbaarmaking van kwetsbaarheden (ook wel het ‘Responsible Disclosure Policy’ genoemd), zodat u ons kunt informeren wanneer u een kwetsbaarheid ontdekt.


Deze Responsible Disclosure Policy is van toepassing op alle systemen van Spinae. In geval van twijfel kunt u contact met ons opnemen om zaken te verduidelijken.

Wat wij van u vragen

Wanneer u een kwetsbaarheid in één van onze systemen vindt, vragen wij u om:

  • De kwetsbaarheid zo snel mogelijk na ontdekking te melden. Gebruik hiervoor het volgende formulier.
  • Voldoende informatie te verstrekken om de kwetsbaarheid te reproduceren, zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal volstaat het IP-adres of de URL van het betrokken systeem en een omschrijving van de kwetsbaarheid, maar voor complexere kwetsbaarheden kan meer informatie nodig zijn.
  • Uw contactgegevens achter te laten, zodat wij contact met u kunnen opnemen om samen te werken aan een veilig resultaat. Laat ten minste uw naam en e-mailadres achter. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat wij u kunnen bereiken indien we aanvullende vragen hebben.
  • Te bevestigen dat u hebt gehandeld en zult blijven handelen conform dit Responsible Disclosure Policy.

Regels die u moet volgen

  • Maak de kwetsbaarheid niet openbaar totdat wij deze hebben kunnen verhelpen. Zie hieronder voor mogelijke publicatie.
  • Misbruik de kwetsbaarheid niet door onnodig gegevens te kopiëren, verwijderen, aanpassen of in te zien. Bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen.
  • Pas de volgende acties niet toe:
    • Plaatsen van malware (virus, worm, Trojan horse, enz.).
    • Kopiëren, wijzigen of verwijderen van gegevens in een systeem.
    • Wijzigingen aanbrengen in het systeem.
    • Herhaaldelijk toegang zoeken tot het systeem of toegang delen met anderen.
    • Gebruikmaken van geautomatiseerde scantools.
    • Het zogenoemde “brute force” toepassen op toegang tot systemen.
    • Gebruik van denial-of-service of social engineering (phishing, vishing, spam,…).
  • Voer geen aanvallen uit op fysieke beveiliging, social engineering, distributed denial of service, spam of toepassingen van derden.
  • Verwijder onmiddellijk alle gegevens die via een kwetsbaarheid verkregen zijn zodra deze is gemeld bij Spinae.
  • Verricht geen handelingen die invloed kunnen hebben op de goede werking van het systeem, zowel qua beschikbaarheid en prestaties, als qua vertrouwelijkheid en integriteit van de gegevens.
  • Handelingen onder dit Responsible Disclosure Policy moeten beperkt blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren, en het delen van deze informatie met Spinae.
  • Indien u na het oplossen van de kwetsbaarheid informatie over de kwetsbaarheid wilt publiceren, vragen wij u dit minimaal een maand voor publicatie te melden, en ons de kans te geven hierop te reageren. Vermelding van Spinae in een publicatie is slechts mogelijk na onze uitdrukkelijke toestemming.

Wat wij beloven

  • Indien u zich aan bovenstaande voorwaarden van het Responsible Disclosure Policy hebt gehouden en geen andere overtredingen hebt begaan, zullen wij geen juridische stappen tegen u ondernemen.
  • Wij zullen binnen korte tijd reageren op uw melding, indien mogelijk binnen 5 werkdagen, met onze beoordeling van de melding en een eventuele verwachte oplostermijn.
  • Wij behandelen uw melding vertrouwelijk en delen uw persoonsgegevens niet met derden zonder uw toestemming, tenzij dit noodzakelijk is om aan een wettelijke verplichting te voldoen.
  • Als blijk van waardering bieden wij, afhankelijk van de ernst van de gemelde kwetsbaarheid, een beloning voor iedere melding van een beveiligingsprobleem dat nog niet bij ons bekend was.
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • Wij streven ernaar om alle problemen binnen korte tijd op te lossen.
  • We kunnen ervoor kiezen meldingen van lage kwaliteit te negeren.

Indien u vragen heeft, moedigen wij u aan om contact met ons op te nemen.

In geval van twijfel over de toepasselijkheid van dit beleid, vragen wij u eerst contact met ons op te nemen om uitdrukkelijke toestemming te vragen.

Wij behouden ons het recht voor om de inhoud van dit beleid op elk moment te wijzigen of het beleid stop te zetten.

Deze tekst is een afgeleid werk van “Responsible Disclosure” door Floor Terra, gebruikt onder een Creative Commons Attribution-licentie 3.0, te vinden op https://responsibledisclosure.nl/en/.