Regeling Responsible Disclosure

Inleiding

Bij het Koninklijk Instituut Van Ingenieurs (KIVI) vinden wij de veiligheid van jouw en onze gegevens erg belangrijk, daarom beveiligen wij onze systemen. Ondanks onze zorg kan het voorkomen dat er toch een zwakke plek is in deze beveiliging.

 

Heb je een zwakke plek in één van onze systemen gevonden, dan horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met jou samenwerken om onze gebruikers en systemen beter te kunnen beschermen.

Wij vragen jou:

  • Geen aanvallen uit te voeren op fysieke beveiliging en mensen (social engineering).
  • Geen gebruik te maken van Distributed Denial of Service (DDos) aanvallen of spam.
  • Meldingen van kwetsbaarheden eenmalig te doen ook al komt dezelfde kwetsbaarheid op verschillende plaatsen in het systeem voor.
  • Je bevindingen te mailen naar responsible-disclosure@kivi.nl. Melden onder een pseudoniem is mogelijk. Indien je vindt dat de gegevens zo gevoelig zijn dat je ze wenst te versleutelen, verzoeken we je dat te melden. We zorgen er dan voor dat je een adres krijgt waar je PGP-versleutelde mail naar toe kunt sturen (Zie PGP-public key hier onderaan de pagina).
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, bij complexere kwetsbaarheden is meer info nodig.
  • Alle vertrouwelijke gegevens die zijn verkregen via het lek zo snel mogelijk na het doorgeven van je melding te verwijderen, maar altijd na afstemming met ons om er zeker van te zijn dat wij het probleem kunnen reproduceren.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen, of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Het probleem niet met anderen te delen totdat het is opgelost.
  • Niet zelf over het opgeloste probleem te publiceren tenzij dit vooraf met ons is afgestemd.

 

Wat bij beloven:

  • Wij vinden het belangrijk dat kwetsbaarheden zo snel mogelijk aan ons worden gemeld, zodat wij direct actie kunnen ondernemen om onze omgeving weer veilig te maken. Meldingen worden daarom door ons altijd in dank aanvaard. Wij zullen dan ook geen juridische stappen overwegen naar melders die zich ongeautoriseerd toegang hebben verschaft tot gevoelige informatie, mits je je hebt gehouden aan bovenstaande punten.
  • Wij behandelen je melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder je toestemming met derden delen tenzij dat noodzakelijk is om aan een wettelijke verplichting te voldoen.
  • Wij reageren binnen 5 werkdagen op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • Als je er prijs op stelt nemen we jou op als melder in de Hall of Fame, indien gewenst kan dit onder pseudoniem.
  • Relevante inhoud van de opgeloste melding kunnen we publiceren op www.kivi.nl/cybersafety, tenzij er redenen zijn om dit niet te doen. Bijvoorbeeld wanneer de oplossing heeft geleid tot (ontdekking van) een gerelateerde kwetsbaarheid die nog niet is opgelost, of wanneer de publicatie kan leiden tot imagoschade voor (een onderdeel van) KIVI.
  • In berichtgeving over het opgeloste probleem zullen wij, indien je dit wenst, je naam vermelden als de ontdekker en melder.
  • Indien je de eerste melder bent van een kwetsbaarheid ontvang je een relatiegeschenk van KIVI.

Wij streven er naar alle gemelde problemen zo goed en snel mogelijk op te lossen. Dank je wel!

PGP-public key

-----BEGIN PGP PUBLIC KEY BLOCK-----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=SmqG
-----END PGP PUBLIC KEY BLOCK-----
Word lid