Wij besteden veel zorg en aandacht aan de veiligheid en integriteit van onze systemen en diensten. Wij zijn ons ervan bewust dat er desondanks toch kwetsbare plekken gevonden kunnen worden in onze systemen. In dat geval komen wij daar het liefst zo snel mogelijk achter, zodat wij actie kunnen ondernemen om de kwetsbaarheid te verhelpen. Mocht het zo zijn dat je een kwetsbaarheid hebt gevonden, dan werken wij graag met je samen om de kwetsbaarheid op te lossen.
Dit Coordinated Vulnerability Disclosure beleid is van toepassing op de website van Medux B.V. (www.medux.nl) en de websites van de onderliggende organisaties. In dit beleid leggen wij uit hoe wij te werk gaan.
Wij vragen u:
-
Contact met ons op te nemen via security@medux.nl. Je kunt je bevindingen meteen in het e-mailbericht opnemen, of wij kunnen samen overleggen over een andere manier om informatie uit te wisselen.
-
Misbruik de zwakheid niet door bijvoorbeeld gegevens te downloaden, veranderen of te verwijderen. Wij nemen uw melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook zonder ‘bewijs’.
-
Deel het probleem niet met anderen totdat het is opgelost.
-
Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools, zoals vulnerability scanners.
-
Geef ons voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Wat wij beloven:
-
Wij reageren binnen 3 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing,
-
Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding,
-
Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk,
-
Wij houden u op de hoogte van de voortgang van het oplossen van het probleem,
-
In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker.
-
Als blijk van waardering bieden wij een beloning voor meldingen van kwetsbaarheden die nog niet bij ons bekend waren. De beloning is afhankelijk van de ernst van de gevonden kwetsbaarheden, de kwaliteit van de melding en de manier van samenwerken.