Responsible Disclosure

HOB ICT Security vindt het belangrijk om veilige producten en diensten te leveren voor iedereen. Wij hebben de privacy van onze klanten hoog in het vaandel staan. Responsible disclosure is ingericht om de kwaliteit van producten en diensten te waarborgen.

Afhandeling van Responsible disclosure wordt gerealiseerd middels het incident management proces.

Uitgangspunten

HOB ICT Security vindt het belangrijk om veilige producten en diensten te leveren voor iedereen. Wij hebben de privacy van onze klanten hoog in het vaandel staan. Onze specialisten waken daarom 24 uur per dag, 7 dagen per week over onze netwerken en systemen en de data van onze klanten. Ondanks alle zorg en inzet kunnen situaties ontstaan waarin (tijdelijk) sprake is van een zwakke plek in onze beveiliging: een kwetsbaarheid. Heb je aanwijzingen dat er sprake is van een kwetsbaarheid in onze beveiliging, verzoeken we je contact met ons op te nemen.

Als je denkt dat je een zwakke plek in één (1) of meerdere van onze diensten hebt gevonden, werken we graag met je samen om deze situatie zo spoedig mogelijk op te lossen. Daarom verzoeken we je deze informatie met ons te delen. Om misbruik van de mogelijke kwetsbaarheid door anderen te voorkomen, vragen we je om bij een melding de volgende richtlijnen aan te houden:

Doe het volgende:

• Meld bevindingen bij support@hob-it.nl . Versleutel uw bevindingen om te voorkomen dat deze kritieke informatie in verkeerde handen valt;
• Maak geen gebruik van de kwetsbaarheid of het probleem dat u heeft ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of aan te passen. Misbruik leidt tot aangifte.
• Vertel het probleem niet aan anderen voordat het is opgelost;
• Voer onderstaande aanvallen niet uit:
  • op de fysieke beveiliging
  • door middel van social engineering
  • (gedistribueerde) denial of service, ofwel (D)DoS
  • versturen van SPAM
  • op applicaties van derden;
• Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Geef in ieder geval de volgende informatie:
  • Het IP-adres of de URL van het getroffen systeem
  • Een beschrijving van de kwetsbaarheid
  • Een screenshot, waarin de kwetsbaarheid wordt aangetoond
  • Zoveel als mogelijk technische details

Wat we beloven:

• We reageren binnen twee (2) werkdagen op uw melding met onze evaluatie van de melding en een verwachte datum voor een oplossing;
• Als u de bovenstaande instructies heeft opgevolgd, zullen we geen juridische stappen tegen u ondernemen met betrekking tot de melding;
• Wij behandelen uw melding strikt vertrouwelijk en geven uw persoonlijke gegevens niet zonder uw toestemming door aan derden;
• We houden u op de hoogte van de voortgang bij het oplossen van het probleem;
• Als blijk van dank voor uw hulp bieden wij een beloning aan voor elke melding van een beveiligingsprobleem waarvan wij nog niet op de hoogte waren. De hoogte van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van de melding.

We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.