IT Security Kompas: Handvatten en tools om het securityniveau te verhogen.

Responsible Disclosure

  • Home
  • Responsible Disclosure

Responsible Disclosure

Security heeft bij IT Security Kompas de hoogste prioriteit. Onze specialisten zijn continu bezig met de optimalisatie van systemen en processen. Op deze manier creëren we een zo hoog mogelijke beveiliging voor zowel onze klanten als onszelf.

Ondanks onze zorg voor de security van onze systemen kan het voorkomen dat er toch een zwakke plek aanwezig is.

Ontdekt u een beveiligingslek in onze systemen? Dan werken we graag met u samen aan een oplossing. Daarom verzoeken we u deze informatie vertrouwelijk met ons te delen. Hoe u dit kunt doen, kunt u terugvinden in ons ‘Statement of Responsible Disclosure’.

IT Security Kompas monitort verdacht gedrag op eigen netwerken. De kans is groot dat een scan wordt opgemerkt en dat een onderzoek gestart wordt waardoor onnodige kosten gemaakt worden. Vandaar dat ons beleid op het gebied van Responsible Disclosure geen uitnodiging is om ons bedrijfsnetwerk uitgebreid te scannen om zwakke plekken te ontdekken.

Statement of Responsible Disclosure

Indien u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. We willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Hoe meldt u een probleem?

  • Meld het probleem bij privacy@itsecuritykompas.nl. U dient per mail slechts één melding te maken. Indien u meerdere kwetsbaarheden heeft gevonden dan willen we u verzoeken dit te verspreiden over meerdere mailtjes;
  • Laat uw contactgegevens achter (naam, telefoonnummer en e-mailadres) zodat we u kunnen bereiken indien we meer informatie nodig hebben;
  • Geef voldoende informatie zodat we beter in staat zijn het probleem te reproduceren en hierdoor sneller kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan het zijn dat we meer detailinformatie nodig hebben.

Onze spelregels:

  • Misbruik het probleem niet door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen uw melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook als er geen concreet bewijs is;
  • Voorkom het kopiëren, verwijderen of wijzigen van informatie;
  • Deel het probleem niet met anderen totdat het is opgelost;
  • Plaats geen malware en maak geen gebruik van brute force aanvallen, denial of service aanvallen, Social Engineering en voer geen ‘lateral movement’ uit.

Onze inspanning:

  • We sturen u binnen 1 werkdag een mail met bevestiging van ontvangst;
  • We sturen u binnen 3 werkdagen een mail met een inhoudelijke reactie en de datum waarop we verwachten het probleem op te lossen. We lossen het probleem uiterlijk binnen twee maanden op;
  • We houden u op de hoogte van de voortgang en status van het oplossen van het probleem;
  • We bepalen samen met u of we hierover publiceren. We vermelden alleen uw naam indien u dit wilt;
  • Indien u zich aan onze spelregels houdt, zullen we geen juridische stappen ondernemen.