Alternative

Bij Bovemij vinden we de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als je een zwakke plek in één van onze systemen hebt gevonden, kan dit worden aangemeld, zodat we zo snel mogelijk de benodigde maatregelen kunnen treffen. Wij willen graag met jou samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Wij vragen aan jou om:

  • Jouw bevindingen te mailen naar security@bovemij.nl. Versleutel de bevindingen indien mogelijk met de Pretty Good Privacy (PGP)-sleutel van Bovemij om te voorkomen dat de informatie in verkeerde handen valt. PGP is een van de veel gebruikte versleutelingsmogelijkheden. De te gebruiken PGP-sleutel is te vinden onderaan deze pagina.
  • Geef voldoende informatie om het probleem te kunnen reproduceren zodat Bovemij het zo snel mogelijk kan oplossen. Meestal is een combinatie van het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Contactgegevens achter te laten zodat Bovemij met jou in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter.
  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Vermijd dus in elk geval de volgende handelingen:

  • Het plaatsen van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  • Het aanbrengen van veranderingen in het systeem.Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
  • Het gebruik maken denial-of-service of social engineering.

Je mag het volgende van ons verwachten:

  • Als uw melding aan de bovenstaande voorwaarden voldoet, verbinden wij geen juridische consequenties aan deze melding. Wij behandelen uw melding strikt vertrouwelijk en delen geen persoonlijke gegevens met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Na een melding stuurt Bovemij u binnen één werkdag een ontvangstbevestiging.
  • Bovemij reageert binnen vijf werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij houden u van de voortgang op de hoogte. Wij lossen het door u geconstateerde beveiligingsprobleem in een systeem binnen een redelijke termijn op. In onderling overleg bepalen we wanneer en op welke wijze hierover wordt gepubliceerd.
  • Als dank voor uw hulp biedt Bovemij een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren. Het moet hierbij wel gaan om een voor Bovemij nog onbekend en serieus beveiligingsprobleem.

Deze tekst is opgesteld als aanvulling op de leidraad van het Nationaal Cyber Security Centrum.

Responsible Disclosure Bovemij

Found a security vulnerability? Report it to us!

At Bovemij we consider the security of our systems very important. Despite our care for the security of our systems, it may happen that there is a vulnerability.

If you have found a weakness in one of our systems, please report it so that we can take the necessary measures as quickly as possible. We would like to work with you to better protect our customers and our systems.

We ask that you:

  • Email your findings to security@bovemij.nl. If possible, encrypt the findings with Bovemij's Pretty Good Privacy (PGP) key to prevent the information from falling into the wrong hands. PGP is one of the commonly used encryption options. The PGP key to use can be found below.
  • Provide sufficient information to reproduce the problem so that Bovemij can resolve it as quickly as possible. Usually the IP address or URL of the affected system and a description of the vulnerability is sufficient, but more may be required for more complex vulnerabilities.
  • Leave contact details so that Bovemij can get in touch with you to work together on a secure outcome. Leave at least an email address or phone number.
  • Make the report as soon as possible after discovery of the vulnerability.
  • Not share the information about the security problem with others until it is resolved.
  • Treat the knowledge about the security problem responsibly by not taking actions beyond what is necessary to demonstrate the security problem.

Thus, avoid at least the following actions:

  • Placing malware.
  • Copying, modifying or deleting data in a system (an alternative to this is creating a directory listing of a system).
  • Making changes to the system.Accessing the system repeatedly or sharing access with others.
  • Using what is known as "bruteforcing" access to systems.
  • Using denial-of-service or social engineering.

You should expect the following from us:

  • If your report meets the above conditions, we will not attach any legal consequences to this report. We will treat your report strictly confidential and will not share personal data with third parties without your permission, unless required by law or court order.
  • Following a report, Bovemij will send you confirmation of receipt within one working day.
  • Bovemij will respond to a report within five working days with an assessment of the report and an expected date for resolution.
  • We will keep you informed of the progress. We will resolve the security problem you have identified in a system within a reasonable period of time. By mutual agreement, we determine when and how this will be published.
  • As thanks for your help, Bovemij offers a reward. This reward may vary depending on the seriousness of the security problem and the quality of the report. It must be a security problem that is as yet unknown and serious to Bovemij.

This text has been prepared as a supplement to the National Cyber Security Center's guidelines.

pgp-key

security.txt
1 kB
1.0
security@bovemij.nl

Nog niet gevonden wat je zocht?
Of stel je vraag via...
Whatsapp
Chat
E-mail
Telefoon
Twitter
Facebook
Heb je een vraag?
Neem dan contact met mij op of met een van mijn collega's
Neem contact op

Roy
Accountmedewerker