Responsible Disclosure
CHOICE insights + strategy beschouwt de veiligheid van haar systemen als een topprioriteit, maar hoeveel moeite we ook steken in systeembeveiliging, er kunnen nog steeds kwetsbaarheden aanwezig zijn.
Als u een kwetsbaarheid ontdekt, willen we dat graag weten, zodat we maatregelen kunnen nemen om deze zo snel mogelijk te verhelpen. We willen u vragen om ons te helpen onze klanten en onze systemen beter te beschermen.
Wat we u vragen
- E-mail uw bevindingen naar cert@thechoice.nl. Versleutel uw bevindingen met een PGP-sleutel om te voorkomen dat deze kritieke informatie in verkeerde handen valt;
- Maak geen gebruik van de kwetsbaarheid of het probleem dat u heeft ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of aan te passen;
- Vertel het probleem niet aan anderen voordat het is opgelost;
- Voer geen aanvallen uit op de fysieke beveiliging, m.b.v. social engineering, met gedistribueerde denial of service, met spam of applicaties van derden; en
- Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexe kwetsbaarheden is wellicht meer uitleg nodig.
Wat we beloven
- We zullen binnen 3 werkdagen op uw melding reageren met onze evaluatie van de melding en een verwachte datum voor een oplossing;
- Als u de bovenstaande instructies heeft opgevolgd, zullen we geen juridische stappen tegen u ondernemen met betrekking tot de melding;
- Wij behandelen uw melding strikt vertrouwelijk en geven uw persoonlijke gegevens niet zonder uw toestemming door aan derden;
- We houden u op de hoogte van de voortgang bij het oplossen van het probleem;
- In de openbare informatie over het gemelde probleem vermelden we uw naam als de ontdekker van het probleem (tenzij u anders wenst); en
- Als blijk van dank voor uw hulp bieden wij een beloning aan voor elke melding van een beveiligingsprobleem waarvan wij nog niet op de hoogte waren. De hoogte van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van de melding. De minimale beloning is een cadeaubon van € 50.
We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost..
Contact
Bij vragen over uw privacy of uw gegevens kunt u contact opnemen via vragen@thechoice.nl of bellen met 020-5210660.