Responsible Disclosure

Ben je een specialist in informatiebeveiliging en heb je een kwetsbaarheid ontdekt? Meld dit aan ons, zodat we passende maatregelen kunnen treffen. We werken graag met je samen!

Help de online beveiliging nóg beter te maken

Bij Anderzorg staat bescherming van klantgegevens voorop. Daarom werken wij doorlopend aan de beschikbaarheid en veiligheid van onze systemen, ons netwerk en onze producten. Ondanks onze zorg voor de beveiliging van onze systemen kunnen deze toch kwetsbaarheden bevatten.

Ben je deskundig op het gebied van informatiebeveiliging en heb je een mogelijke kwetsbaarheid ontdekt, meld dit aan ons, zodat we snel passende maatregelen kunnen treffen. Wij werken graag met je samen om onze klanten en onze systemen nog beter te beschermen.

Onze Responsible Disclosure policy (hierna RD-policy) is geen uitnodiging om ons bedrijfsnetwerk actief te scannen op zwakke plekken. Hiervoor hebben wij zelf maatregelen genomen. Doe je dit wel, dan is de kans groot dat ons Security Operations Centre (SOC) hier onderzoek naar gaat doen.

Melding doen

Heb je een kwetsbaarheid gevonden, dan kun je je bevindingen mailen naar rd [at] anderzorg [punt] nl. Na ontvangst van je melding wordt deze als volgt behandeld:

  • Je krijgt binnen drie werkdagen na de melding een ontvangstbevestiging.
  • Binnen vijf werkdagen na de ontvangstbevestiging ontvang je een reactie met daarin een beoordeling van de melding en de verwachte oplossingsdatum. We streven ernaar je ook tussentijds op de hoogte te houden over de voortgang.
  • Anderzorg behandelt je melding vertrouwelijk en deelt je gegevens niet zonder je toestemming met derden, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.
  • We bepalen samen met jou of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost. In de berichtgeving over het gemelde probleem zal Anderzorg, indien gewenst, je naam vermelden als ontdekker.
  • Voor het melden van een kwetsbaarheid deel je mogelijk persoonsgegevens met Anderzorg. Anderzorg bewaart deze gegevens niet langer dan nodig voor dit specifieke doel en zal deze uiterlijk één maand na oplossing van het probleem verwijderen.

Spelregels

Tijdens je onderzoek zou je handelingen kunnen verrichten die strafbaar zijn. Als dit gebeurt vanuit goed vertrouwen en goede bedoelingen, is er voor Anderzorg geen aanleiding om aangifte te doen of een schadeclaim in te dienen. We vragen je daarom onderstaande spelregels te volgen en verantwoordelijk te handelen:

  • Deel het gevonden probleem niet met anderen totdat het is opgelost en wis alle vertrouwelijke gegevens die zijn verkregen via de kwetsbaarheid direct na het oplossen van de kwetsbaarheid.
  • Geef ons zo volledig mogelijk informatie over hoe en wanneer de kwetsbaarheid zich voordoet. Beschrijf duidelijk hoe dit probleem gereproduceerd kan worden en geef informatie over de gebruikte methode en het tijdstip van onderzoeken.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem.
  • Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
  • Maak geen misbruik van de zwakke plek en bewaar geen vertrouwelijke gegevens die zijn verkregen via de kwetsbaarheid in het systeem.
  • Misbruik de zwakke plek niet door bijvoorbeeld meer data te downloaden dan nodig is of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Deel je contactgegevens (e-mailadres of telefoonnummer) met ons, zodat Anderzorg contact met je kan opnemen over de beoordeling en voortgang van de oplossing van de kwetsbaarheid.
  • Breng geen systeemveranderingen aan.
  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
  • Probeer niet vaker dan nodig toegang tot het systeem te verkrijgen.
  • Gebruik geen bruteforce-technieken om toegang tot de systemen te krijgen.
  • Beveilig je eigen systeem zo goed mogelijk.

Wat kun je niet melden

Het emailadres in deze RD-policy is niet bedoeld voor:

  • het melden dat onze website of een van onze services niet beschikbaar is.
  • het melden van klachten. Deze kunnen gemeld worden via het klachtenformulier
  • bekijk hier wat je kunt doen bij het ontvangen van nep e-mails (phishing)
  • het melden van HTTP security headers gerelateerde zaken, bijvoorbeeld:

    • Strict-Transport-Security
    • X-Frame-Options
    • X-XSS-Protection
    • X-Content-Type-Options
    • Content-Security-Policy

Medewerkers van Anderzorg en aan haar gelieerde ondernemingen volgen de bestaande interne incidentenprocedure voor het melden van kwetsbaarheden.

Nationaal Cyber Security Center (NCSC)
Deze policy is gebaseerd op de Leidraad Responsible Disclosure zoals opgesteld door het NCSC van het Ministerie van Veiligheid en Justitie.

Laatste wijziging Responsible Disclosure policy: maart 2022