Responsible Disclosure

Responsible Disclosure Beleid Servitus

Responsible Disclosure

Bij Servitus vinden we de veiligheid van onze systemen, ons netwerk en onze producten erg belangrijk. We besteden hier veel aandacht aan bij de ontwikkeling en onderhoud. Natuurlijk kan het desondanks voorkomen dat een zwakke plek wordt ontdekt. Het is fijn als u dat aan ons laat weten. Bij voorkeur horen we dit graag zo snel mogelijk, zodat we maatregelen kunnen treffen om onze klanten te beschermen.

Dit document beschrijft de procedure die we hiervoor hebben opgesteld.

Melding doen

Verstuur de melding liefst zo snel mogelijk na ontdekking van de kwetsbaarheid aan security@Servitus.nl. Versleutel uw bevindingen bij voorkeur met onze EUR PGP key

Spelregels;
   >  Deel informatie over het beveiligingsprobleem niet met anderen totdat het probleem is opgelost.
   >  Geef informatie over hoe en wanneer de kwetsbaarheid of storing zich voordoet. Beschrijf duidelijk hoe dit probleem gereproduceerd kan worden en geef informatie over de gebruikte methode en het tijdstip van onderzoeken.
   >  Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen. Maak geen misbruik van de zwakke plek en bewaar geen vertrouwelijke gegevens die zijn verkregen via de kwetsbaarheid in het systeem.
   >  Laat desgewenst contactgegevens (e-mailadres of telefoonnummer) achter zodat Servitus contact met u kan opnemen over de beoordeling en voortgang van de oplossing van de kwetsbaarheid. We nemen anonieme meldingen eveneens serieus.
   >  Maak geen gebruik van fysieke aanvallen, DDOS aanvallen of social engineering.
   >  Gebruik geen tool dat aanzienlijk volume of verkeer genereert.

Ons responsible disclosure-beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen op zwakke plekken. Wij monitoren ons netwerk zelf. Hierdoor is de kans groot dat een scan wordt opgepikt en ons Security Operation Centre (SOC) hier onderzoek naar gaat doen.

Wat doen wij bij Responsible Disclosure

Wanneer u melding doet van een vermoede zwakke plek in een van onze systemen, dan behandelen we deze op de volgende manier:

   >  U krijgt binnen drie werkdagen na het doen van de melding een ontvangstbevestiging van Servitus.
   >  Binnen drie werkdagen na de ontvangstbevestiging ontvangt u een reactie met daarin een beoordeling van de melding en de verwachte datum van de oplossing. We streven ernaar u ook tussentijds op de hoogte te houden over de voortgang van het oplossen van het probleem.
   >  Servitus behandelt uw melding vertrouwelijk en deelt uw gegevens niet zonder uw toestemming met derden, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.
   >  Servitus zal samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost. In de berichtgeving over het gemelde probleem zal Servitus, indien gewenst, uw naam vermelden als ontdekker.

Wat kunt u niet melden?

Deze Responsible Disclosure regeling is niet bedoeld voor het melden van klachten. Mocht dit het geval zijn reageren wij daar dan ook niet op. Ook is de regeling niet bedoeld voor:

   >  Het melden dat de website niet beschikbaar is.
   >  Het melden van nep e-mails (phishing e-mails).
   >  Problemen gevonden door geautomatiseerd testen.
   >  Aanwezigheids- of banner- of versie-informatie.
   >  CSRF-compatibele acties waarvoor geen verificatie (of sessie) vereist is.
   >  Problemen met subdomeinen/domeinen of services van derden die we gebruiken. Meld deze problemen aan de juiste service.
   >  Rapporten met betrekking tot de volgende headers met betrekking tot beveiliging:
   >  Strict Transport Security (HSTS).
   >  XSS mitigation headers (X-Content-Type en X-XSS-Protection).
   >  X-Content-Type-Options.
   >  DNSSEC/DANE problemen.
   >  Content Security Policy (CSP) -instellingen (met uitzondering van nosniff in een bruikbaar scenario).
   >  Het melden van fraude.
Neem voor deze en overige zaken contact op met ons via ons ticketsysteem en/of contactformulier.

Beloningen / bug bounty

Om het melden van problemen met de beveiliging van onze systemen te stimuleren heeft Servitus een bug bounty regeling. Voor meldingen die daadwerkelijk aanleiding geven tot het verhelpen van een kwetsbaarheid of een verandering van onze dienstverlening stellen we een passende vergoeding beschikbaar. Wij beslissen of de melding hiervoor in aanmerking komt en de aard en hoogte van de beloning.

Uitgesloten systemen van bug bounty beloningen?

Specifieke problemen die naar ons oordeel geen bedreiging vormen binnen ons infrastructuur sluiten we uit van bug bounties.

UITGESLOTEN SYSTEMEN
   >  (*).Servitus.nl

UITGESLOTEN TYPEN BEVEILIGINGSPROBLEMEN
   >  (D)DOS aanvallen
   >  Problemen die neerkomen op self-XSS
   >  Foutmeldingen zonder gevoelige gegevens
   >  Meldingen waaruit door ons gebruikte software is af te leiden
   >  Problemen die gebruik van sterk verouderde besturingssystemen, browsers of plugins
   >  Problemen die ons al bekend zijn

Dit beleid is opgesteld aan de hand van de Leidraad Responsible Disclosure van het NCSC.