CySeC Logo

Responsible Disclosure Policy Cyber Security & Continuïty Consultancy VOF (CySeC Consultancy)

ALGEMEEN

Ondanks het feit dat wij een bedrijf zijn dat zich specialiseert in informatiebeveiliging en bedrijfscontinuïteit, kan ook bij ons eens iets niet in orde zijn. Ook onze systemen en website kunnen een zwakke plek hebben (kwetsbaarheden).

Als je deze pagina bekijkt, is dat waarschijnlijk omdat je een kwetsbaarheid gevonden hebt of wilt gaan zoeken. Uiteraard willen wij dit ook graag weten, daarom hebben we dit responsible disclosure beleid opgezet.

Wat vraagt CySeC Consultancy van jou?

Allereerst, ga tijdens je test verantwoordelijk om met onze systemen en website(s). Gebruik niet meer dan noodzakelijk is om de kwetsbaarheid te ontdekken en te kunnen reproduceren. Ook houden we er niet van als onze systemen verstoord raken of beschadigd worden. Dat betekent dus dat we de volgende dingen niet accepteren:
• Het plaatsen van malware.
• Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
• Het aanbrengen van veranderingen in het systeem (configuraties).
• Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
• Het gebruik maken van het “bruteforce” om toegang tot systemen te verkrijgen.
• Het gebruik maken van denial-of-service of social engineering.
Tot dusver de spelregels vooraf.

Ik heb een kwetsbaarheid gevonden, wat nu?
• We horen graag zo snel mogelijk na de ontdekking via de mail van je, dit kan via info@cysec-consultancy.nl
• Graag willen we zelf ook even kijken of we je werk kunnen nadoen, beschrijf dus in je mail welke kwetsbaarheid je gevonden en het proces die je hiervoor hebt gehanteerd.
• We houden dingen graag tussen jou en ons, deel je bevindingen dus niet met anderen totdat wij de mogelijkheid gehad hebben om dingen op te lossen. (We proberen kwetsbaarheden zo snel mogelijk aan te pakken)
• Als we je terug kunnen mailen of even kunnen bellen zouden we dat erg tof vinden. Wellicht kunnen we dan eens afspreken voor een kop koffie en een gesprek over je bevindingen.

Wat jij van CySeC Consultancy mag verwachten

Wij hechten waarde aan vertrouwen, daarom hebben we deze policy ook. CySeC is van mening dat mensen die zonder kwaadaardige bedoelingen en zonder bijwerkingen de beveiliging van systemen of websites testen van vitaal belang zijn in het cybersecurity sector. Zodoende mag jij dus het volgende van ons verwachten:
• Als de bovenstaande procedure gerespecteerd wordt, zullen wij geen juridische stappen ondernemen en je gegevens niet delen met derden. (Tenzij dit wettelijk verplicht is)
• We nemen binnen uiterlijk 5 werkdagen contact met je op om je bevindingen te evalueren en wanneer wij verwachten het probleem opgelost te hebben.
• Als jij het wil, willen we graag je naam toevoegen aan onze responsible disclosure “hall of fame”, daarnaast stellen we het op prijs als we betrokken worden bij eventuele publicaties.
• Afhankelijk van de “grootte” van de kwetsbaarheid zijn wij bereid om een beloning te bieden. De vorm van beloning wordt intern door de Partners bepaald. Uiteraard moet het hierbij wel gaan om een voor ons nog onbekend probleem.
• Indien gewenst houden we contact omtrent de mogelijke oplossingen van het probleem.

Zoals eerder aangegeven, vinden wij dit een kwestie van vertrouwen tussen ons als organisatie en jou als melder. Daarom doen wij dus ook geen aangifte als dit protocol gevolgd wordt. De enige uitzonderingen hierop zijn dus als volgt:
• Als wij door een bevoegde autoriteit middels een gerechtelijk bevel mee dienen te werken aan een onderzoek, dan dienen wij ons als organisatie aan de wet te houden. In een dergelijk geval zijn wij dus, ondanks dit beleid, genoodzaakt om specifieke informatie door te geven.
• Als dit protocol niet gevolgd wordt en er bijvoorbeeld schade wordt toegebracht of als er gegevens gestolen worden, voelen wij ons helaas genoodzaakt om aangifte te doen bij de Politie en samen te werken met de autoriteiten om de verantwoordelijke partij op te sporen.

Versie 1.0 Geüpdatet op: 23 – 08 – 2017
© Cyber Security & Continuïty Consultancy VOF 2016-2017
Algemene voorwaarden
Privacyverklaring
Responsible Disclosure Policy
Icons provided by Picol.ORG & Linhpham.me
Fotos gemaakt door Colorboxdesign.nl & photonphoto