Responsible Disclosure

Bij de Stichting RSO Zorgring NHN  beschouwen wij de beveiliging van onze systemen als een topprioriteit. Maar hoeveel moeite we ook doen voor het beveiligen van ons systeem, er kunnen nog steeds kwetsbaarheden aanwezig zijn. Als je een kwetsbaarheid ontdekt, willen we dat graag weten, zodat we stappen kunnen ondernemen om deze zo snel mogelijk aan te pakken. Wij willen je vragen om ons te helpen onze klanten en onze systemen beter te beschermen.

Doe het volgende:

  • E-mail je bevindingen naar servicedesk@zorgring.nl. Versleutel je bevindingen met onze PGP-sleutel om te voorkomen dat deze kritieke informatie in verkeerde handen valt;
  • Maak geen misbruik van de kwetsbaarheid of het probleem dat je hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of aan te passen;
  • Vertel het probleem niet aan anderen voordat het is opgelost;
  • Gebruik geen aanvallen op fysieke beveiliging, social engineering, gedistribueerde denial of service, spam of applicaties van derden;
  • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexe kwetsbaarheden kan nadere uitleg nodig zijn.

 

Wat we beloven:

  • We zullen binnen 3 werkdagen op je melding reageren met onze evaluatie van de melding en een verwachte oplossingsdatum;
  • Als je bovenstaande instructies op hebt gevolgd, zullen wij geen juridische stappen tegen je ondernemen met betrekking tot de melding;
  • Wij behandelen je melding strikt vertrouwelijk en geven jouw persoonlijke gegevens niet zonder jouw toestemming door aan derden;
  • We houden je op de hoogte van de voortgang bij het oplossen van het probleem, In de openbare informatie over het gemelde probleem vermelden we je naam als de ontdekker van het probleem (tenzij je anders wenst), en
  • Als blijk van onze dankbaarheid voor jouw hulp bieden wij een beloning voor elke melding van een beveiligingsprobleem dat nog niet bij ons bekend was. De hoogte van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van de melding. De minimale beloning is een VVV cadeaubon van €25. We streven ernaar om alle problemen zo snel mogelijk op te lossen en willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.