Vanzelfsprekend vinden wij de veiligheid van onze systemen erg belangrijk en doen wij er van alles aan om onze systemen goed te beschermen. Maar wij zijn ons ervan bewust dat er desondanks toch kwetsbare plekken gevonden kunnen worden in onze systemen. In dat geval komen we daar het liefst zo snel mogelijk achter, zodat we actie kunnen ondernemen om de kwetsbaarheid te verhelpen.
Eerlijkheid, transparantie en vertrouwen maken onderdeel uit van onze kernwaarden. Mocht het zo zijn dat je een kwetsbaarheid hebt gevonden, dan werken we graag met je samen om de kwetsbaarheid op te lossen. Dat doen wij graag op de volgende manier.
De melding
Currently we don’t accept new bug/security reports. Please refer to the message in the blue box for an update when we start processing again. Je kunt je bevindingen meteen in de mail opnemen, of we kunnen samen overleggen over een andere manier om informatie uit te wisselen. Neem in je bevindingen in ieder geval het ip-adres of de url van het kwetsbare systeem op en een beschrijving van de kwetsbaarheden die je hebt gevonden. Meestal is dat voldoende informatie, maar het kan zijn dat we je om aanvullende informatie vragen.
Wat je van ons mag verwachten
Wij nemen meldingen van gevonden kwetsbaarheden serieus, en werken graag samen met de melder om de kwetsbaarheid te verhelpen. Dat betekent:
- We gaan vertrouwelijk met je melding om en delen je gegevens niet met anderen, tenzij we daar wettelijk toe verplicht zijn. Je kunt kwetsbaarheden ook anoniem of onder een pseudoniem bij ons melden.
- Je ontvangt van ons binnen een dag na melding een ontvangstbevestiging.
- Vervolgens komen we met een inhoudelijke reactie op je melding. Dat doen we uiterlijk binnen drie werkdagen na je melding.
- We onderzoeken de gevonden kwetsbaarheid en beoordelen hoe we daarmee omgaan. Het kan zijn dat we bepaalde kwetsbaarheden accepteren, als die voor ons geen of amper risico inhouden.
- Ons uitgangspunt is om kwetsbaarheden zo snel mogelijk op te lossen. Wij streven ernaar om softwarematige kwetsbaarheden binnen maximaal 60 dagen opgelost te hebben en kwetsbaarheden met betrekking tot hardware, binnen maximaal 6 maanden.
- We houden je op de hoogte van de voortgang van de beoordeling en oplossing.
- Als jij daar prijs op stelt, vermelden we je naam als ontdekker van het probleem bij berichtgeving die wij over het probleem naar buiten brengen.
- Als blijk van dank bieden wij een beloning voor meldingen van kwetsbaarheden die nog niet bij ons bekend waren. De beloning is afhankelijk van de ernst van de gevonden kwetsbaarheden, de kwaliteit van de melding en de manier van samenwerken. De waarde kan variëren van een erkenning of bedankje op social media tot beloningen met financiële waarde.
- Als jij onderstaande aandachtspunten in acht neemt zullen wij geen juridische stappen (zoals aangifte of schadevergoedingen) tegen je ondernemen.
Aandachtspunten
Wij vertrouwen erop dat je integer en zorgvuldig te werk gaat. Daarom vragen we jou om:
- De kwetsbaarheid niet te misbruiken voor andere doeleinden dan de melding;
- Bij het onderzoeken van de kwetsbaarheid niet méér informatie in te zien, aan te passen of te verwijderen dan noodzakelijk is om de kwetsbaarheid aan te tonen;
- De kwetsbaarheid niet te publiceren of met anderen te delen, voordat het probleem is opgelost;
- Alle vertrouwelijke gegevens die je via de kwetsbaarheid hebt verkregen te wissen zodra het probleem is opgelost;
- Met ons samen te werken aan een oplossing door ons voldoende informatie te geven om het probleem te reproduceren en op te lossen, en:
- Geen gebruik te maken van social engineering, ddos-aanvallen, applicaties van derden of doorbreking van fysieke beveiligingsmaatregelen.
Tot slot
Dit Coordinated Vulnerability Disclosure beleid is van toepassing op onze website www.provolve.nl / www.easysoftwaredeployment.nl en de onderliggende publiek toegankelijke subdomeinen.
Versie: 1.0
Dear bug bounty hunters, we appreciate all your efforts in helping us keep our systems safe. However, due to the high volume of bug reports, we will temporarily stop processing new reports. This is to give every report the proper time it needs. Keep an eye on this page to see when we continue to process bug reports again. Thanks for understanding.
Hall of Fame
These people help keep our systems safe:
- Sujay Gaonkar – LinkedIn
- Munimadugu Somasekhar – LinkedIn
- Akshay Parse – LinkedIn
- Alan Roy – LinkedIn
- Aamir Usman khan – LinkedIn
- Nehal Pillai – LinkedIn
- Gourab Sadhukhan – LinkedIn
- Jerbi Nessim – Twitter
- Mohd Asif Khan – Linkedin, Twitter
- Foysal Ahmed Fahim
- Ahmed Salah Abdalhfaz – LinkedIn, Twitter
- Raajesh G – LinkedIn
- Hamza Farooqi – LinkedIn
- Harinder Singh (S1N6H) – LinkedIn