Kwetsbaarheid melden (CVD)

/
Kwetsbaarheid melden (CVD)
Elkander besteedt veel aandacht aan informatiebeveiliging. Vindt u toch een zwakke plek in één van onze systemen? Dan horen wij het graag. Laat het ons weten via een CVD-melding. CVD staat voor Coordinated Vulnerability Disclosure.

ZO DOET U EEN CVD-MELDING

Wij vragen u om de volgende procedure te volgen:

  • Stuur een e-mail met uw bevindingen naar cvd@elkander.nl.
  • Vermeld in uw melding voldoende informatie om het probleem te reproduceren. Dit helpt ons om het probleem snel te kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden hebben we soms meer informatie nodig. Wij nemen daarover dan contact met u op.
  • Laat in elk geval een e-mailadres of telefoonnummer achter zodat wij contact met u kunnen opnemen.

Denk hierbij om het volgende:

  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen, totdat u van ons hoort, of totdat het probleem is verholpen.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Doe geen dingen die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.

VERMIJDEN VAN ONVERANTWOORDE HANDELINGEN

Vermijd bij uw onderzoek naar de kwetsbaarheid altijd de volgende handelingen:

  • Plaatsen van malware.
  • Kopiëren, aanpassen of verwijderen van gegevens in een systeem. Een alternatief hiervoor is een directory-listing van een systeem maken.
  • Aanbrengen van veranderingen in het systeem.
  • Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Gebruik maken van ‘brute force’ om toegang tot een systeem te verkrijgen.
  • Gebruik maken van denial-of-service of ‘social engineering’.

ZO ZIET ONS CVD-BELEID ERUIT

  • Wanneer u de melding volgens de procedure doet, dan hebben wij geen reden om juridische consequenties te verbinden aan uw melding. Wij behandelen uw melding vertrouwelijk en delen persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Alleen met uw toestemming vermelden wij uw naam als de ontdekker van de gemelde kwetsbaarheid.
  • Wij sturen u binnen één werkdag een ontvangstbevestiging. Binnen 3 werkdagen reageren wij op een melding met de beoordeling van de melding en een verwachte datum van oplossing. Daarna houden wij u als melder op de hoogte van de voortgang van het oplossen van het probleem.
  • Elkander streeft ernaar het door u gemelde beveiligingsprobleem uiterlijk binnen 60 dagen op te lossen. In overleg bepalen we, na oplossen van het probleem, of en op welke manier erover wordt gepubliceerd.

BELONING VOOR UW MELDING

Wij kunnen u een beloning geven voor uw onderzoek, maar zijn hiertoe niet verplicht. U heeft dus niet zonder meer recht op een vergoeding. De vorm van deze beloning staat niet van tevoren vast en wordt door ons per geval bepaald. Of we een beloning geven en de vorm waarin dat gebeurt, hangt af van:

  • de zorgvuldigheid van uw onderzoek
  • de kwaliteit van de melding
  • de ernst van de kwetsbaarheid