Coordinated vulnerability disclosure (CVD) bij Aces Direct | Aces Direct
Zoeken
Zoeken

Coordinated vulnerability disclosure (CVD) bij Aces Direct

Coordinated vulnerability disclosure (CVD) bij Aces Direct

Heb jij een zwakke plek gevonden in een van de ICT-systemen van Aces Direct? Dan horen wij dit graag zo snel mogelijk van je. Op die manier kunnen wij de benodigde maatregelen treffen.

Aces Direct wil graag met jou samenwerken om de veiligheid van onze ICT-systemen nog beter te maken. Daarom hebben wij onderstaand beleid opgesteld. Hierin is de omgang met meldingen van geconstateerde kwetsbaarheden in de ICT-systemen van Aces Direct beschreven.

Wat als je een zwakke plek in ons systeem hebt gevonden?

  • Dan verzoeken wij je deze zo snel mogelijk te mailen naar security@acesdirect.nl.
  • In de mail vragen wij je om genoeg informatie inclusief je contactgegevens mee te kunnen sturen, zodat we het probleem zo snel mogelijk kunnen oplossen en contact met je op kunnen nemen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Wij vragen maximaal drie maanden de tijd om de kwetsbaarheid te verhelpen voordat deze wordt gedeeld met derden.
  • We verzoeken je om verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.

Wellicht ten overvloede, maar we willen je toch benadrukken dat onderstaande handelingen bij wet verboden zijn:

  • Het plaatsen van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk verkrijgen van toegang tot het systeem of de toegang delen met anderen.
  • Het gebruik maken van het zogeheten “brute forcen” van toegang tot systemen.
  • Het gebruik maken van denial-of-service of social engineering.

Wat mag je van Aces Direct verwachten?

  • Aces Direct behandelt een melding vertrouwelijk en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Binnen drie dagen ontvang je van ons een ontvangstbevestiging van de melding.
  • Binnen zeven werkdagen ontvang je bericht met de beoordeling van de melding en een verwachte oplossingsdatum.
  • Wij lossen de geconstateerde zwakke plek zo snel mogelijk op (uiterlijk binnen negentig dagen). In overleg bepalen we of en hoe over het probleem wordt gecommuniceerd.
  • Als dank voor je hulp bij het veilig houden van onze omgeving, bieden wij je een beloning. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning (in de vorm van een Amazon- bon) oplopen tot maximaal honderd euro. Het moet hierbij wel gaan om een voor Aces Direct nog onbekend en serieus beveiligingsprobleem.
  • Let op: als je een of meerdere meldingen doet die in aanmerking komen voor een vergoeding, vragen wij altijd om identificatie. Dat doen we, omdat we moeten kunnen aantonen wie precies welke vergoeding heeft gekregen.

Alvast bedankt voor je medewerking. Voor meer informatie kun je altijd een mail sturen naar security@acesdirect.nl.