Responsible Disclosure Beleid

De Vereende, inclusief de entiteiten waaraan zij diensten verleent, vindt het belangrijk dat onze klanten veilig gebruik kunnen maken van onze website en internetdiensten. Daarom werken wij voortdurend aan het verbeteren van onze systemen en processen, zodat gegevens beschermd worden tegen misbruik en de veiligheid en beschikbaarheid van onze dienstverlening gewaarborgd is. Ondanks alle zorg en inzet kunnen situaties ontstaan waarin sprake is van een zwakke plek in onze beveiliging. Ontdek je een probleem of zwakke plek in onze ICT-systemen of internetdiensten, meld dit dan zo snel mogelijk.

Wat kun je melden?
Voorbeelden van kwetsbaarheden zijn:
• Cross-Site Scripting (XSS) kwetsbaarheden;
• SQL injectie kwetsbaarheden;
• Zwakheden in inrichting beveiligde verbinding.

Zorg er voor dat je tijdens het onderzoeken de programmatuur in stand houdt en geen schade aanbrengt. In geen geval mag jouw onderzoek tot onderbreking van onze dienstverlening leiden of mogen bedrijfs- en klantgegevens openbaar worden gemaakt.

Hoe maak je een melding?
Meld een mogelijke zwakke plek via een e-mail <[email protected]> waarbij je gebruik maakt dit formulier.
Gebruik hiervoor de volgende PGP key: <public PGP Key VERZEKERAAR> om te voorkomen dat de informatie in verkeerde handen valt.

Wat doen wij met jouw melding?
Wij behandelen jouw melding strikt vertrouwelijk en delen geen persoonlijke gegevens met derden zonder jouw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is. Een team van beveiligingsexperts onderzoekt de melding. Binnen 1 werkdag ontvang je van ons een ontvangstbevestiging. Binnen 5 werkdagen koppelen we het vervolg terug.

Wat moet je in de tussentijd doen?
Maak het probleem niet openbaar, maar praat met onze experts en geef hen de tijd het probleem op te lossen. Wij laten je weten wat we van de melding vinden, of en welke oplossing we gaan toepassen en wanneer we dat zullen doen.

Wie kan melding maken?
Iedereen die een mogelijke zwakte in de systemen van de Vereende heeft ontdekt.

Spelregels
1. Bij het onderzoek naar zwakke plekken zou je mogelijk handelingen kunnen verrichten die strafbaar zijn. Als je te goeder trouw, zorgvuldig en volgens de hier aangegeven spelregels handelt, is er voor de Vereende geen aanleiding aangifte bij de politie te doen. Volg daarom de regels zoals opgenomen in dit beleid inzake Responsible Disclosure van de Vereende en handel daarnaast niet op onevenredige wijze.
2. Maak geen gebruik van social engineering om toegang te verkrijgen tot een systeem;
3. Plaats geen backdoor in een informatiesysteem. Ook niet om de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen;
4. Maak minimaal gebruik van een kwetsbaarheid, doe alleen datgene wat noodzakelijk is om de kwetsbaarheid vast te stellen;
5. Kopieer, wijzig of verwijder geen enkel gegeven van het systeem. Maak eventueel een directory listing of screenshot;
6. Breng geen systeemveranderingen aan;
7. Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen;
8. Gebruik geen zogeheten ‘bruteforce’ om toegang tot systemen te verkrijgen, dan is immers geen sprake van een kwetsbaarheid, maar van het herhaaldelijk proberen van wachtwoorden.

Beloning
Voor gemelde beveiligingskwesties die daadwerkelijk door ons zijn vastgesteld, verholpen of tot verandering van de dienstverlening hebben geleid, ontvang je als dank een beloning. De Vereende beslist per geval of de melder hiervoor in aanmerking komt. Deze beloning bestaat uit een vermelding op onze ‘Wall of Fame’ en een schenking van € 50,- aan Veilig Verkeer Nederland.

Wat niet melden
Het meldpunt [email protected] is niet bedoeld voor:
1. vragen of klachten over de dienstverlening;
2. vragen of klachten over de beschikbaarheid van de website
3. meldingen over fraude of vermoedens van fraude;
4. meldingen over nep e-mails, phishing e-mails of virussen;