Responsible disclosure beleid

Bij Effectory vinden wij de veiligheid van onze systemen, ons netwerk en onze producten erg belangrijk. Ondanks onze zorg voor de beveiliging daarvan, kan het voorkomen dat er toch een zwakke plek wordt ontdekt. Als je een zwakke plek in één van onze systemen, netwerken of producten hebt gevonden, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met je samenwerken om onze klanten en onze systemen, netwerken en producten beter te beschermen.

Zwakke plekken kunnen op twee manieren worden ontdekt: je loopt ergens tegenaan bij normaal gebruik van een digitale omgeving, of je doet expliciet je best om een zwakke plek te vinden. Ons responsible disclosure beleid is geen uitnodiging om ons actief en/of onaangekondigd te scannen op zwakke plekken. Wij monitoren onze systemen, ons netwerk en onze producten ook zelf. Klant van ons? Dan vragen wij je vooraf contact op te nemen met ons, zodat onze IT collega's geïnformeerd zijn en je onderzoeken geen hinder of vertraging ondervinden. Wanneer een onaangekondigde scan wordt opgepikt en onderzocht door onze IT collega's, worden IP-adressen van een lopend onderzoek namelijk geblokkeerd en worden er mogelijk onnodige kosten gemaakt.

Wij vragen:

  • Bevindingen te mailen naar databreach@effectory.com. Versleutel je bevindingen met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct te wissen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, (distributed) denial of service, spam, of applicaties van derden zoals hacking tools en vulnerability scanners, tenzij hierover expliciete afspraken zijn gemaakt.
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven:

  • Wij reageren binnen drie werkdagen op je melding met onze beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
  • Als bovenstaande voorwaarden zijn gevolgd, ondernemen wij geen juridische stappen betreffende de melding.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • Wij behandelen je melding vertrouwelijk en delen je persoonlijke gegevens niet zonder toestemming met derden. Een uitzondering hierop is politie en justitie, in geval van aangifte of als gegevens worden opgeëist.
  • Het is helaas niet mogelijk bij voorbaat juridische stappen uit te sluiten. We willen elke situatie apart kunnen afwegen.
  • We achten onszelf moreel verplicht om aangifte te doen op het moment dat we vermoeden dat de zwakheid of gegevens misbruikt worden (zoals inkijken, verwijderen of aanpassen van gegevens van derden), of dat je kennis over de zwakheid met anderen hebt gedeeld. Je kunt erop rekenen dat een toevallige ontdekking in onze online omgeving niet tot aangifte leidt.
  • Afhankelijk van de ernst van het lek en de kwaliteit van de melding, kunnen wij een beloning bieden voor een gedane melding van een ons nog onbekend beveiligingsprobleem, als dank voor je hulp.

Wij streven ernaar kritieke problemen zo snel mogelijk op te lossen en alle betrokken partijen op de hoogte te houden hiervan.