Responsible disclosure beleid

We vinden het belangrijk dat onze klanten en samenwerkingspartners onze systemen en processen op een veilige en efficiënte manier kunnen gebruiken. Het optimalieren van systemen en processen heeft bij ons daarom altijd de hoogste prioriteit. Dit betekent niet dat onze systemen perfect zijn en er nooit sprake is van mogelijke kwetsbaarheden. We werken daarom graag samen met informatiebeveiligingsexperts die een mogelijke kwetsbaarheid in een van onze systemen hebben gevonden.

Kwetsbaarheid melden
Ben jij zo’n expert op het gebied van informatiebeveiliging en heb je een kwetsbaarheid in een van onze systemen gevonden? Dan vragen we je om ons daarover te informeren. Dit kan door ons een (versleutelde) e-mail te sturen naar compliance@felison.nl, waarin je het geconstateerde probleem kort en bondig beschrijft. Vermeld in ieder geval:

• Welke kwetsbaarheid je hebt gevonden;
• De volledige URL waar de kwetsbaarheid is gevonden;
• De genomen stappen om de kwetsbaarheid te vinden;
• Objecten (zoals filters of invoervelden) die een rol spelen; en
• Screen prints van geconstateerde zaken.

Een team van beveiligingsexperts zal je melding vervolgens onderzoeken. We vragen je vriendelijk om ons de tijd te gunnen dit grondig te doen en de juiste maatregelen te nemen.

Afspraken bij melding
Het is mogelijk dat je tijdens je eigen onderzoek acties onderneemt die strafbaar zijn. Als dit gebeurt vanuit goed vertrouwen, met goede bedoelingen en volgens onderstaande afspraken, vormt dat voor ons geen aanleiding om dit door te geven aan politie of andere instanties.

Het gaat hierbij om de volgende uitgangspunten:

  • Je maakt de kwetsbaarheid niet publiek voordat we het opgelost hebben. In plaats daarvan
    praat je met onze experts en geef je hen de tijd om het probleem te verhelpen.
  • Je zorgt ervoor dat je tijdens je onderzoek en dat van ons geen schade aan onze systemen
    toebrengt.
  • Je maakt geen gebruik van Social Engineering om toegang te krijgen tot onze systemen.
  • Je onderzoek veroorzaakt op geen enkele manier een verstoring van onze diensten.
  • Je onderzoek leidt nooit tot het openbaar maken van klantgegevens of andere vertrouwelijke
    informatie.
  • Je laat nooit een backdoor in ons systeem achter, ook niet om de gevonden kwetsbaarheid
    aan te kunnen tonen.
  • Je maakt geen wijzigingen in onze data en verwijdert deze niet. Als een kopie van de data
    noodzakelijk is om je bevindingen met ons te delen, beperk je dit tot wat noodzakelijk is voor
    de bewijslast.
  • Je maakt geen wijzigingen in de configuratie van ons systeem.
  • Je beperkt de penetratie van het systeem tot wat strikt noodzakelijk is om de kwetsbaarheid
    te vinden en aan te tonen. Als je toegang hebt verkregen deel je die niet met anderen.
  • Je gebruikt geen brute force-technieken om toegang te krijgen tot onze systemen.
  • Je gebruikt geen technieken die de bereikbaarheid van ons of onze diensten beïnvloeden.

 

Beloning
Vanzelfsprekend waarderen we je inzet en hulp om onze systemen en processen veilig te houden. Omdat we vinden dat goed werk beloond moet worden stellen we in de meeste gevallen een vergoeding beschikbaar. De hoogte hiervan wordt bepaald op basis van de impact die het geconstateerde probleem heeft of zou kunnen hebben. We zijn voor onze keuze of we een vergoeding toekennen geen verantwoording verschuldigd en hebben altijd het recht om de vergoeding en de hoogte daarvan zelf te bepalen.

Als we hebben besloten om een vergoeding toe te kennen, hebben we je persoonlijke gegevens nodig om de betaling uit te kunnen voeren. Hoe wij met persoonsgegevens omgaan lees je terug in onze privacyverklaring, zoals gepubliceerd op onze website. De beloning wordt niet uitgekeerd als (i) afzonderlijke partijen dezelfde kwetsbaarheid rapporteren (in dat geval komt alleen de eerste melder in aanmerking voor een beloning), (ii) het op basis van het in sanctiewetgeving bepaalde niet is toegestaan om zaken met je te doen, (iii) je werkzaam bent voor een bedrijf dat wij voor een vergelijkbaar doel hebben ingeschakeld, (iv) de kwetsbaarheid al bij ons bekend is of (v) er sprake is van misbruik of je schending van de in dit document opgenomen afspraken.