Responsible Disclosure

Ons Responsible Disclosure Beleid

Wij nodigen beveiligingsonderzoekers uit om kwetsbaarheden die zij ontdekken in onze systemen, netwerken, applicaties of diensten aan ons te melden. Wij geloven in het belang van samenwerking met de beveiligingsgemeenschap om onze klanten en systemen te beschermen.

Dit beleid beschrijft wat we van u verwachten en wat u van ons kunt verwachten wanneer u een beveiligingsprobleem aan ons meldt.

Reikwijdte

Dit Responsible Disclosure beleid is van toepassing op de volgende systemen en diensten:

• Alle websites die eigendom zijn van Brainsoft ICT (*.brainsoftict.nl)
• Onze klantportalen en beheersystemen
• Onze mobiele applicaties
• Onze API's en webservices
• Onze cloudinfrastructuur

Het volgende valt buiten de reikwijdte van dit beleid:

• Systemen of diensten van derden die we gebruiken maar niet in ons eigendom zijn
• Fysieke beveiligingsproblemen in onze kantoren
• Social engineering aanvallen op onze medewerkers
• Spam- of DoS-aanvallen

Richtlijnen

Bij het onderzoeken van beveiligingsproblemen vragen wij u om:

• Geen schade toe te brengen aan onze systemen, gegevens of diensten
• Geen gegevens van anderen te bekijken, verwijderen, wijzigen of opslaan
• Geen gebruik te maken van "brute force" technieken die onze systemen kunnen overbelasten
• Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden
• Uw bevindingen niet met anderen te delen totdat wij het probleem hebben opgelost
• Voldoende informatie te verstrekken om het probleem te reproduceren zodat we het kunnen oplossen

Wat te vermelden in uw melding

Om ons te helpen uw melding snel te verwerken, verzoeken wij u de volgende informatie op te nemen:

• Een duidelijke beschrijving van het beveiligingsprobleem
• Het type kwetsbaarheid en de impact ervan
• Stappen om het probleem te reproduceren
• De betrokken systemen, URL's of endpoints
• Schermafbeeldingen, video's of andere materialen die ons helpen het probleem te begrijpen (indien van toepassing)
• Eventuele ideeën voor het oplossen van het probleem
• Uw contactgegevens voor eventuele vragen of verduidelijkingen

Ons reactieproces

Wanneer u een beveiligingsprobleem meldt, kunt u het volgende van ons verwachten:

Juridische waarborgen

Brainsoft ICT zal geen juridische stappen ondernemen tegen onderzoekers die kwetsbaarheden melden in overeenstemming met dit beleid, op voorwaarde dat:

• U handelt in overeenstemming met dit Responsible Disclosure beleid
• U geen schade toebrengt aan onze systemen, gegevens of diensten
• U geen gegevens van derden bekijkt, wijzigt of verwijdert
• U geen gebruik maakt van social engineering technieken
• U geen gebruik maakt van technieken die onze systemen kunnen beschadigen of verstoren (zoals DDoS-aanvallen)
• U de kwetsbaarheid niet openbaar maakt voordat deze volledig is opgelost

We behouden ons het recht voor om juridische stappen te ondernemen tegen personen die zich niet aan deze voorwaarden houden.

Responsible Disclosure Mailing

Wij bieden een speciale mailing service voor het veilig melden van beveiligingsproblemen. Vul onderstaand formulier in om een kwetsbaarheid direct aan ons beveiligingsteam te melden.

Een kwetsbaarheid melden

Als u een beveiligingsprobleem heeft ontdekt, verzoeken wij u dit te melden via: