Coordinated vulnerability disclosure (CVD) bij Aces Direct
Heb jij een zwakke plek in een van de ICT-systemen van Aces Direct gevonden? Dan horen wij dit graag zo snel mogelijk van je. Op die manier kunnen wij de benodigde maatregelen treffen.
Aces Direct wil graag met jou samenwerken om de veiligheid van onze ICT-systemen nog beter te maken. Daarom hebben wij onderstaand beleid opgesteld. Hierin is de omgang met meldingen van geconstateerde kwetsbaarheden in de ICT-systemen van Aces Direct beschreven.
Wat als je een zwakke plek in ons systeem hebt gevonden?
- Dan verzoeken wij je deze zo snel mogelijk te mailen naar security@acesdirect.nl.
- In de mail vragen wij je om genoeg informatie inclusief je contactgegevens mee te kunnen sturen zodat we het probleem zo snel mogelijk kunnen oplossen en contact met je op kunnen nemen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Vragen wij maximaal 3 maanden de tijd om de kwetsbaarheid te verhelpen voordat deze wordt gedeeld met derden.
- Verzoeken we je verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.
Wellicht ten overvloede, maar we willen je toch benadrukken dat onderstaande handelingen bij wet verboden zijn:
- Het plaatsen van malware.
- Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
- Het aanbrengen van veranderingen in het systeem.
- Het herhaaldelijk verkrijgen van toegang tot het systeem of de toegang delen met anderen.
- Het gebruik maken van het zogeheten “brute forcen” van toegang tot systemen.
- Het gebruik maken van denial-of-service of social engineering.
Wat mag je van Aces Direct verwachten?
- Aces Direct behandelt een melding vertrouwelijk en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- Binnen 3 dagen ontvang je van ons een ontvangstbevestiging van de melding.
- Binnen 7 werkdagen ontvang je bericht met de beoordeling van de melding en een verwachte oplossingsdatum.
- Wij lossen de geconstateerde zwakke plek zo snel mogelijk op (uiterlijk binnen 90 dagen). In overleg kan worden bepaald of en op welke wijze over het probleem wordt gecommuniceerd.
- Als dank voor je hulp bij het veilig houden van onze omgeving, bieden wij een beloning. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning (in de vorm van een Amazon bon) oplopen tot maximaal 100 euro. Het moet hierbij wel gaan om een voor Aces Direct nog onbekend en serieus beveiligingsprobleem
Alvast bedankt voor je medewerking. Voor meer informatie kun je altijd een mail sturen naar security@acesdirect.nl.