Responsible Disclosure

Kwetsbaarheid ontdekt? Laat het ons weten.

Bij Pon Holdings B.V. en haar dochterondernemingen vinden we de veiligheid van onze systemen en ons netwerk erg belangrijk. We zijn ervan overtuigd dat een goede beveiliging essentieel is voor het vertrouwen dat onze klanten, leveranciers en medewerkers in ons stellen. Ondanks de zorg voor de beveiliging van onze systemen zou het kunnen voorkomen dat een kwetsbaarheid wordt ontdekt.

Middels ons responsible disclosure beleid vragen wij iedereen die een kwetsbaarheid ontdekt, dit zo snel mogelijk te melden zodat we adequate maatregelen kunnen treffen. We werken graag met je samen om de kwetsbaarheid op te lossen. Ons responsible disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om kwetsbaarheden te ontdekken. Wij monitoren ons netwerk zelf.

Wij vragen je:

  • Jouw bevindingen zo snel mogelijk te versturen naar [email protected]. Als je de melding versleuteld wilt versturen, meld dit dan in je e-mail. Wij geven je dan instructies;
  • Ons voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn;
  • De kwetsbaarheid niet te misbruiken door bijvoorbeeld het downloaden, inzien, verwijderen of aanpassen van gegevens;
  • Kwetsbaarheden niet met anderen te delen totdat de kwetsbaarheid is opgelost. Mocht je onverhoopt vertrouwelijke gegevens hebben verkregen dan vragen wij je deze gegevens direct te wissen;
  • Geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, social engineering, distributed denial of service (DDoS), spam of hacking tools zoals vulnerability scanners.

Wat mag je verwachten:

  • Wij nemen jouw melding altijd serieus. Ook vermoedens van kwetsbaarheden zullen wij onderzoeken;
  • Wij reageren binnen 5 werkdagen op jouw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing;
  • Wij houden je op de hoogte van de voortgang van het oplossen van de kwetsbaarheid;
  • Als je je aan bovenstaande voorwaarden hebt gehouden zullen wij geen juridische stappen tegen je ondernemen betreffende de melding. Het Openbaar Ministerie behoudt altijd het recht om zelf te beslissen of vervolgonderzoek nodig is;
  • Wij behandelen jouw melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder je toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen, zoals wanneer je gegevens worden opgevraagd door politie en justitie;
  • Een anonieme melding betekent mogelijk dat wij geen contact met je kunnen opnemen over bijvoorbeeld de vervolgstappen en voortgang van het dichten van de kwetsbaarheid;
  • We kunnen onze blijk van waardering tonen in de vorm van een beloning met een maximale waarde van € 50. Dit wordt bepaald aan de hand van de ernst van de kwetsbaarheid en kwaliteit van de melding;
  • In eventuele berichtgeving over de gemelde kwetsbaarheid zullen wij, indien je dit wenst, jouw naam vermelden als de ontdekker;
  • Wij streven ernaar alle kwetsbaarheden zo snel mogelijk te analyseren en indien nodig op te lossen. We zullen daarbij alle betrokken partijen op de hoogte houden.

 

Dit responsible disclosure beleid is gebaseerd op de leidraad Responsible Disclosure van het Nationaal Cyber Security Centrum en het voorbeeld Responsible Disclosure geschreven door Floor Terra.