Responsible Disclosure
Responsible Disclosure
Responsible Disclosure
Bij Parnassia Groep vinden wij de veiligheid van onze systemen erg belangrijk.
Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Als je een zwakke plek in één van onze systemen hebt gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen.
Hoe kan ik een zwakke plek in een ICT-systeem van Parnassia Groep melden?
Een zwakke plek in een ICT-systeem kun je melden via ons contactformulier of via informatieveiligheid@parnassiagroep.nl. Wij doen een dringend beroep op de melder om de ICT kwetsbaarheid eerst bij ons te melden. Na onderzoek zullen wij de noodzakelijke maatregelen te treffen. Na de melding besluiten wij of de gemelde zwakke plek openbaar wordt gemaakt.
Wat moet ik doen bij het doen van een melding?
Geef zoveel mogelijk informatie zodat wij in staat zijn om het probleem te reproduceren. Zo kunnen wij het probleem detecteren en zo snel mogelijk oplossen. Meestal is het IP-adres of webadres van het getroffen ICT systeem en een omschrijving van de kwetsbaarheid genoeg.
Bij ingewikkelde zwakke plekken kan het nodig zijn om meer informatie te delen;
- Laat contactgegevens (e-mailadres en/of telefoonnummer) achter zodat wij in staat zijn om contact op te nemen;
- Meld zo snel mogelijk na ontdekking van de zwakke plek;
- Deel de informatie over de kwetsbaarheid niet met anderen totdat het is opgelost;
- Ga verantwoordelijk om met de kennis over de gemelde kwetsbaarheid. Verricht geen handelingen die verder gaan dan wat nodig is om de kwetsbaarheid aan te tonen;
- Voldoe je bij je melding aan deze voorwaarden? Dan verbinden wij geen juridische consequenties aan de melding;
- Als blijkt dat je bovenstaande voorwaarden toch hebt geschonden, dan kunnen wij alsnog besluiten om gerechtelijke stappen tegen je te ondernemen.
Maak geen misbruik van een zwakke plek in een ICT-systeem
Als een je zo'n kwetsbaarheid ontdekt, maak er dan geen misbruik van. Bijvoorbeeld door:
- Malware te plaatsen;
- Gegevens in een ICT systeem te kopiëren, wijzigen of verwijderen;
- Zelf veranderingen aan te brengen in het betreffende ICT systeem;
- Herhaaldelijk toegang te verkrijgen tot het ICT systeem of de toegang te delen met anderen;
- Gebruik te maken van het zogeheten ‘brute force’ om toegang tot systemen te verkrijgen;
- Andere personen te informeren over de ICT kwetsbaarheid;
- Gebruik te maken van denial-of-service of social engineering.
Wat doen wij met jouw melding?
Heb je een melding geplaatst van een zwakke plek in een ICT-systeewij behandelen jouw melding als volgt:
- Je krijgt binnen 2 werkdagen een ontvangstbevestiging;
- Wij reageren binnen 5 werkdagen op jemelding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing;
- Wij houden je op de hoogte van de voortgang van het oplossen van het probleem;
- Wij lossen het beveiligingsprobleem zo snel mogelijk op, uiterlijk binnen 90 dagen. Jij bepaalt samen met ons of en hoe we over het gemelde probleem communiceren. Berichtgeving vindt pas plaats nadat het probleem is opgelost;
- Wij kunnen, als je dat wilt, jouw naam vermelden als de ontdekker van de gemelde kwetsbaarheid;
- Wij behandelen je melding vertrouwelijk en delen je persoonlijke gegevens niet zonder jouw toestemming met derden, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.
Kwetsbaarheid in een ICT-systeem buiten Parnassia Groep
Ontdek je een kwetsbaarheid in een ICT-systeem dat niet onder onze verantwoordelijkheid valt? Benader dan eerst de betreffende organsiatie.
Reageert die organisatie niet of niet goed? Dan kun je het Nationaal Cyber Security Centrum (NCSC) op de hoogte brengen. Zij zullen dan de rol van intermediair op zich nemen.