Kwetsbaarheid melden (CVD)
Bij Atabix hechten we groot belang aan de beveiliging van onze applicaties en de bescherming van de data die deze applicaties gebruiken. We investeren voortdurend in de nieuwste beveiligingsmaatregelen en doen er alles aan om onze systemen veilig te houden. Toch kan het voorkomen dat er een kwetsbaarheid aanwezig is die bij ons nog niet bekend is.
Als je een dergelijke kwetsbaarheid ontdekt, waarderen wij het zeer als je deze bij ons meldt. Dit proces staat bekend als Coordinated Vulnerability Disclosure (CVD). Door kwetsbaarheden op een verantwoorde manier te melden, help je ons om de beveiliging van onze systemen te verbeteren.
Procedure voor CVD-melding
Je kunt bij ons kwetsbaarheden melden die een risico vormen voor de beveiliging van onze applicaties. Voorbeelden hiervan zijn kwetsbaarheden waardoor je een login-formulier kunt omzeilen of ongewenst toegang kunt krijgen tot een database met persoonsgegevens.
We vragen je om de volgende procedure te volgen:
- 1.Mail je bevindingen naar security@atabix.nlDeze mailbox wordt op werkdagen tussen 9.00 en 17.00 uur afgehandeld. Wij sturen je binnen één werkdag een bevestiging van ontvangst en reageren binnen drie werkdagen op je melding met een beoordeling.
- 2.Beschrijf zo duidelijk mogelijk hoe het probleem kan worden gereproduceerdDit zorgt ervoor dat we het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van de getroffen applicatie en een omschrijving van de kwetsbaarheid voldoende. Voor complexere kwetsbaarheden kan meer informatie nodig zijn. Wij nemen daarover contact met je op.
- 3.Laat in de e-mail ook je telefoonnummer achterWe geven de voorkeur aan communicatie via e-mail, maar in sommige gevallen kan het handig zijn om even te bellen.
Beveiligingsincidenten
Vind je een kwetsbaarheid die accuut actie vereist dan kun je ons telefonisch bereiken (ook in het weekend) op telefoonnummer: +31 (0)88 3 65 35 00. Stuur daarnaast ook direct een e-mail naar security@atabix.nl met het IP-adres of de URL van de getroffen applicatie en een omschrijving van de kwetsbaarheid.
Wat moet je niet doen
Vermijd altijd de volgende handelingen:
- Plaatsen van malware.
- Kopiëren, wijzigen of verwijderen van gegevens in een systeem.
- Aanbrengen van veranderingen in het systeem.
- Herhaaldelijk toegang verkrijgen tot het systeem of de toegang delen met anderen.
- Gebruikmaken van 'brute force' om toegang tot een systeem te verkrijgen.
- Gebruikmaken van denial-of-service of 'social engineering'.
Ons CVD-beleid
Wanneer je de melding volgens de procedure doet, hebben wij geen reden om juridische consequenties te verbinden aan je melding. Wij behandelen je melding vertrouwelijk en delen persoonlijke gegevens niet zonder jouw toestemming met derden, tenzij dit wettelijk of door een rechterlijke uitspraak verplicht is.
Alleen met jouw toestemming vermelden wij je naam als de ontdekker van de gemelde kwetsbaarheid. Wij sturen je binnen één werkdag een bevestiging van ontvangst en reageren binnen drie werkdagen op je melding met een beoordeling. Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.