Responsible Disclosure Beleid
Bij Pro4all is de veiligheid van onze systemen uiterst belangrijk.
Ondanks onze aandacht voor de beveiliging van onze systemen tijdens productontwikkeling en onderhoud, kan het toch voorkomen dat er een kwetsbaarheid bestaat.
We stellen het op prijs als u ons zo snel mogelijk op de hoogte stelt wanneer u een kwetsbaarheid in een van onze systemen heeft gevonden, zodat we direct maatregelen kunnen nemen om onze klanten en hun gegevens te beschermen.
Hoe te melden?
Als u denkt een beveiligingsprobleem in een van onze systemen te hebben gevonden, verzoeken wij u ons zo snel mogelijk op de hoogte te stellen door een e-mail te sturen naar info@pro4all.nl
Regels
Dit responsible disclosure beleid is geen open uitnodiging om actief ons netwerk en onze applicaties te scannen op kwetsbaarheden. Onze continue monitoring zal uw scan waarschijnlijk detecteren en deze zullen worden onderzocht.
Wij vragen u om:
- Deel geen informatie over het beveiligingsprobleem met anderen totdat het probleem is opgelost en verwijder alle verkregen vertrouwelijke gegevens onmiddellijk
- Misbruik het probleem niet verder, bijvoorbeeld door meer gegevens te downloaden dan noodzakelijk is om het lek aan te tonen, of door gegevens van derden in te zien, te verwijderen of te wijzigen
- Geef gedetailleerde informatie zodat wij het probleem zo snel mogelijk kunnen reproduceren, valideren en oplossen. Vermeld uw testgegevens, tijdstempels en de URL('s) van de betrokken systemen
- Vermeld uw contactgegevens (e-mailadres en/of telefoonnummer) zodat wij contact met u kunnen opnemen over de voortgang van de oplossing. Wij accepteren ook anonieme meldingen
- Maak geen gebruik van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden
Hoe Pro4all omgaat met Responsible Disclosure
Wanneer u een beveiligingsprobleem meldt, zullen wij als volgt handelen:
- U ontvangt van ons een ontvangstbevestiging binnen 10 werkdagen nadat de melding is gedaan
- U ontvangt een reactie met de beoordeling van het beveiligingsprobleem en een verwachte oplossingsdatum binnen 10 werkdagen nadat de ontvangstbevestiging is verstuurd
- Wij zullen geen juridische stappen tegen u ondernemen naar aanleiding van de melding, indien u zich aan de hierboven gestelde voorwaarden heeft gehouden
- Wij behandelen uw melding vertrouwelijk en zullen uw gegevens niet zonder uw toestemming met derden delen, tenzij dit noodzakelijk is om aan een wettelijke verplichting te voldoen
Uitsluitingen
Dit responsible disclosure-beleid is niet bedoeld voor:
- Klachten
- Meldingen over onbereikbare websites
- Phishingmeldingen
- Fraudemeldingen
Voor deze klachten of meldingen, neem dan contact op met ons supportteam (support@pro4all.nl).
Bug bounty-programma
Pro4all moedigt het melden van beveiligingsproblemen of kwetsbaarheden aan. Wij kunnen een passende beloning toekennen voor de vertrouwelijke melding van een ontwerp- of implementatieprobleem dat gebruikt zou kunnen worden om de vertrouwelijkheid of integriteit van de gegevens van onze gebruikers in gevaar te brengen en dat ons nog niet bekend was. Wij bepalen of de melding in aanmerking komt en de hoogte van de beloning.
Uitsluitingen
De volgende soorten beveiligingsproblemen zijn uitgesloten
- (D)DOS-aanvallen
- Foutmeldingen of foutpagina's zonder gevoelige gegevens
- Rapporten van kwetsbaarheidsscans voor software die wij openbaar gebruiken
- Beveiligingsproblemen gerelateerd aan verouderde besturingssystemen, browsers of plug-ins
- Meldingen van beveiligingsproblemen waarover wij al eerder zijn geïnformeerd
Let op: Meldingen die geen bewijs (zoals screenshots of andere gegevens), gedetailleerde informatie of details over hoe een onverwacht resultaat te reproduceren bevatten, zullen worden onderzocht, maar komen niet in aanmerking voor een beloning.
Dit beleid is gebaseerd op de Responsible Disclosure Leidraad van het Nationaal Cyber Security Centrum