Responsible Disclosure Beleid

BSB Volmachten heeft een responsible disclosure-beleid. Wij hebben als financieel dienstverlener een grote focus op online privacy en veiligheid, en daar werken we als bedrijf graag aan mee. We werken dan ook graag samen met hackers en beveiligingsonderzoekers om kwetsbaarheden op te lossen. Als je een zwakke plek hebt gevonden, horen we dat graag. Dan kunnen we zo snel mogelijk maatregelen treffen.

Let op

Een melding kan ook anoniem. In dat geval kunnen wij geen contact met je opnemen voor een eventuele beloning.

Wij vragen van jou:

Mail je bevindingen naar ict@bsbvolmachten.nl
Geef een zo gedetailleerd mogelijke beschrijving van de kwetsbaarheid, indien mogelijk inclusief log-files.
Laat je contactgegevens achter zodat wij sneller contact kunnen opnemen over een eventuele oplossing
Wij sturen zo snel mogelijk een ontvangstbevestiging en een periode waarin wij verwachten het lek eventueel op te lossen. De melding wordt vertrouwelijk behandeld, en we houd je op de hoogte van de vorderingen van het probleem.
Mogelijk neemt één van onze ontwikkelaars contact op met eventuele vervolgvragen.
Ga verantwoordelijk om met de kwetsbaarheid, door die niet voortijdig te publiceren, door geen backdoors te plaatsen, geen brute-force-aanvallen op onze servers uit te voeren of gegevens te verwijderen of te kopiëren. Wanneer dat wel gebeurt kunnen wij mogelijk aangifte doen van misbruik.
Gebruik geen brute-force technieken of social engineering
Wijzig geen gegevens of instellingen op onze systemen
Wis de vertrouwelijke gegevens die je hebt verkregen via het lek na het dichten van het lek.

Publicatie
Wij vragen jou om in ieder geval niets van de kwetsbaarheid te publiceren tot onze ontwikkelaars het probleem hebben opgelost. Daarna mag je een kwetsbaarheid gerust op je blog of site zetten.

Beloning
We zijn dankbaar voor iedereen die ons helpt om kwetsbaarheden in onze systemen op te lossen, en delen dan ook graag een beloning uit. Wij zijn echter niet verplicht tot het uitdelen van een beloning.

De grootte van de beloning bepalen wij aan de hand van de ernst van de lek en de kwaliteit van de melding.

Versie
Dit is het BSB Volmachten Responsible Disclosure Beleid van 11 augustus 2017. We mogen dit beleid aanpassen als we dat nodig vinden. Als je een melding doet, doe je die onder de voorwaarden zoals ze op dat moment gepubliceerd waren. Zo weten we allebei waar we aan toe zijn.

Bron
Deze tekst is gebaseerd op de Leidraad Responsible Disclosure van het NSCS en het voorbeeldmodel zoals beschikbaar is op https://responsibledisclosure.nl/