HomeBeleid Coordinated Vulnerability Disclosure

Beleid Coordinated Vulnerability Disclosure

Bij Teelen vinden we de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als je een zwakke plek in één van onze systemen hebt gevonden dan horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met je samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Voor wat TestVision betreft ben je van harte uitgenodigd om in een niet productieomgeving actief op zoek te gaan naar kwetsbaarheden mits je je bevindingen uitsluitend aan ons meldt. Voor dit doel is een geschikte, representatieve omgeving beschikbaar en op verzoek kunnen we enkele testaccounts met verschillende rollen ter beschikking stellen.

Wij vragen je:

  • Je bevindingen zo snel mogelijk te mailen naar security-alert@teelen.nl.
  • Stuur vertrouwelijke gegevens niet mee via een onbeveiligd e-mail bericht, daarvoor kiezen we in overleg graag een beter beveiligd kanaal uit.
  • Misbruik de gevonden zwakheid niet door bijvoorbeeld het downloaden, veranderen of verwijderen meer gegevens dan nodig is om de kwetsbaarheid aan te tonen, zeker als het gaat om gegevens van onze klanten. Wij nemen je melding altijd serieus en gaan elk gefundeerd vermoeden van een kwetsbaarheid uitzoeken, ook zonder ‘bewijs’.
  • Deel het probleem niet met anderen totdat het is opgelost.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools zoals vulnerability scanners en tools om overbelasting te veroorzaken.
  • Geef ons voldoende informatie om het probleem te reproduceren, zodat wij het snel op kunnen lossen. Meestal is het IP-adres of de URL van het getroffen systeem voldoende, maar bij complexe kwetsbaarheden ontvangen we graag meer informatie.
  • Je verwijdert alle vertrouwelijke gegevens die je hebt verkregen in je onderzoek direct nadat wij de kwetsbaarheid hebben opgelost.

Wat wij beloven:

  • Wij reageren binnen drie werkdagen op jouw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als je je aan bovenstaande regels houdt, zullen wij geen juridische stappen ondernemen ten aanzien van jouw melding.
  • Wij behandelen jouw melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen. Een uitzondering hierop is politie en justitie, in geval van aangifte of indien de gegevens worden opgeëist. Het is overigens toegestaan om onder pseudoniem te melden.
  • Wij houden je op de hoogte van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, je naam vermelden als de ontdekker.
  • Als dank voor je hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding met een minimum van een waardebon van €50,-.