Responsible disclosure
Bij Zideris staat veiligheid voorop en we waarderen het als je ons helpt eventuele zwakke plekken in onze systemen te ontdekken. Ondanks onze inspanningen om alles veilig te houden, kan er toch iets over het hoofd worden gezien.
Als je een zwakke plek hebt gevonden, willen we graag dat je dit meldt aan stichting Z-Cert via een e-mail naar cvd@z-cert.nl. Zij behandelen Coordinated Vulnerability Disclosure (CVD)-meldingen namens Zideris. Samen met jou en stichting Z-Cert willen we ervoor zorgen dat we snel maatregelen kunnen nemen om onze systemen te verbeteren en onze klanten te beschermen.
Wij vragen je:
- Meld je bevindingen bij stichting Z-Cert en gebruik daarbij de PGP-sleutel.
- Maak geen misbruik van het probleem door bijvoorbeeld meer gegevens te downloaden dan nodig is om het lek aan te tonen, of gegevens van anderen in te zien, te verwijderen of aan te passen.
- Deel het probleem niet met anderen totdat het is opgelost en verwijder alle verkregen vertrouwelijke gegevens direct na het dichten van het lek.
- Gebruik geen aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
- Geef voldoende informatie om het probleem te reproduceren, zoals het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid.
Wij beloven:
- Je ontvangt een ontvangstbevestiging van Z-Cert en binnen 5 werkdagen krijg je een reactie op je melding en een verwachte oplossingsdatum.
- Als je je aan de bovenstaande voorwaarden houdt, ondernemen we geen juridische stappen tegen jou met betrekking tot de melding.
- We behandelen je melding vertrouwelijk en delen je persoonlijke gegevens niet zonder je toestemming, tenzij dat nodig is om aan wettelijke verplichtingen te voldoen. Melden onder een pseudoniem is mogelijk.
- Stichting Z-Cert houdt je op de hoogte van de voortgang van het oplossen van het probleem.
- In berichtgeving over het gemelde probleem zullen wij, indien gewenst, je naam vermelden als de ontdekker.
Let op: Niet alle meldingen worden behandeld, vooral als het gaat om triviale kwetsbaarheden of beveiligingsproblemen die niet kunnen worden misbruikt.
We willen je graag bedanken voor je hulp bij het verbeteren van onze systemen en streven ernaar om alle problemen zo snel mogelijk op te lossen.