Meldpunt Kwetsbaarheden
Responsible disclosure
Bent u deskundig en ontdekt u een kwetsbaarheid in onze systemen? Help ons dan door deze kwetsbaarheid te melden. Zo kunnen we samen de veiligheid en betrouwbaarheid van onze systemen verbeteren.
Visio en veiligheid
Als Visio vinden wij het belangrijk dat u veilig gebruik kunt maken van onze websites. Ondanks onze zorg voor de beveiliging van onze systemen kunnen er toch kwetsbaarheden in voorkomen.
Wat kunt u melden?
U kunt problemen melden die betrekking hebben op de beveiliging in een website van Visio. Mocht u een probleem of zwakke plek gevonden hebben, meld dit ons dan zo snel mogelijk. Voorbeeld van kwetsbaarheden die gemeld kunnen worden:
- Authentication/Authorization
- Cross Site Scripting (XSS)-kwetsbaarheden
- SQL injectiekwetsbaarheden
- Encryptiezwakheden
- Information leakage
Hoe kunt u een melding doen?
U kunt uw melding per e-mail doorgeven via disclosure@visio.org. Gebruik hiervoor de public PGP key. Maak in uw e-mail kort en bondig duidelijk welke kwetsbaarheid u heeft gevonden, met name:
- Welke stappen u heeft doorlopen
- Wat de volledige URL is
- Wat de eventueel betrokken objecten zijn (bijvoorbeeld welke invoervelden of filters)
- Scherm printen zijn welkom
Onze specialisten lezen uw melding en gaan gelijk aan de slag. Ziet u een zwakke plek in onze IT-systemen? Neem dan altijd zo snel mogelijk met ons contact op. Wacht niet.
Wat doen we met uw melding?
Een team van beveiligingsexperts onderzoekt uw melding en geeft binnen twee werkdagen een eerste reactie. Maak het probleem niet publiek, maar praat met onze experts en geef hen de tijd het probleem op te lossen. Wij laten u weten wat we van uw melding vinden, of we een oplossing gaan toepassen en wanneer we dat plannen te doen.
De spelregels
Bij het onderzoek zou u mogelijk handelingen kunnen verrichten die strafbaar zijn. Als u te goeder trouw, zorgvuldig en volgens de aangegeven spelregels handelt, is er voor Visio geen aanleiding om aangifte te doen. Volgt u daarom de regels zoals opgenomen in deze responsible disclosure regeling en handel daarnaast niet op onevenredige wijze:
- Zorg ervoor dat u tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.
- Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
- In geen geval mag uw onderzoek leiden tot onderbreking van onze dienstverlening
- In geen geval mag uw onderzoek leiden tot openbaarmaking van klantgegevens.
- Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor in een systeem, wordt dat systeem nog onveiliger.
- Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als 1 record voldoende is voor uw onderzoek, ga dan niet verder.
- Breng geen systeemveranderingen aan.
- Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.
- Gebruik geen bruteforce-technieken (herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.
- Gebruik geen technieken die de beschikbaarheid van onze diensten kunnen beïnvloeden.
Kan ik een zwakke plek ook anoniem melden?
Ja, u hoeft uw naam en contactgegevens niet door te geven als u een melding doet. Bedenk wel dat wij dan niet met u kunnen overleggen over de vervolgstappen. Bijvoorbeeld over wat we met uw melding doen, verdere samenwerking of uw erkenning zoals naamsvermelding.
Waar is het meldpunt niet voor bedoeld?
- Het indienen van klachten over de dienstverlening of websites van Visio
- Vragen of klachten over de beschikbaarheid van websites
- Het melden van nepmails of phishing e-mails
- Het melden van virussen
Uw privacy
Visio gebruikt uw persoonsgegevens alleen om actie te ondernemen op uw melding. We geven uw persoonsgegevens niet zonder uw toestemming aan anderen, tenzij wij op grond van de wet uw gegevens moeten afstaan. Of als we een ander bedrijf inschakelen om uw melding verder te onderzoeken. In dat geval zullen we er altijd voor zorgen dat ook zij op hun beurt op dezelfde manier als wij, uw gegevens geheim houden. Visio blijft ook dan verantwoordelijk voor uw gegevens.
Responsible Disclosure regeling
Over het melden van zwakke plekken in IT-systemen heeft het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie een leidraad gemaakt. Onze regels zijn op die leidraad gebaseerd. Meer lezen over de Leidraad om te komen tot een praktijk van Responsible Disclosure? Kijk op de website van het Nationaal Cyber Security Centrum.