Coordinated vulnerability disclosure

*Please see english version below

Heb jij een zwakke plek gevonden in een van de ICT-systemen van Aces Direct? Dan horen wij dit graag zo snel mogelijk van je. Op die manier kunnen wij de benodigde maatregelen treffen.

Aces Direct wil graag met jou samenwerken om de veiligheid van onze ICT-systemen nog beter te maken. Daarom hebben wij onderstaand beleid opgesteld. Hierin is de omgang met meldingen van geconstateerde kwetsbaarheden in de ICT-systemen van Aces Direct beschreven.

Wat als je een zwakke plek in ons systeem hebt gevonden?

Dan verzoeken wij je deze zo snel mogelijk te mailen naar security@acesdirect.nl. In de mail vragen wij je om genoeg informatie inclusief je contactgegevens mee te kunnen sturen, zodat we het probleem zo snel mogelijk kunnen oplossen en contact met je op kunnen nemen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. Wij vragen maximaal drie maanden de tijd om de kwetsbaarheid te verhelpen voordat deze wordt gedeeld met derden. We verzoeken je om verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.

Wellicht ten overvloede, maar we willen je toch benadrukken dat onderstaande handelingen bij wet verboden zijn:

• Het plaatsen van malware.
• Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
• Het aanbrengen van veranderingen in het systeem.
• Het herhaaldelijk verkrijgen van toegang tot het systeem of de toegang delen met anderen.
• Het gebruik maken van het zogeheten “brute forcen” van toegang tot systemen.
• Het gebruik maken van denial-of-service of social engineering.

Wat mag je van Aces Direct verwachten?

• Aces Direct behandelt een melding vertrouwelijk en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
• Binnen drie dagen ontvang je van ons een ontvangstbevestiging van de melding.
• Binnen zeven werkdagen ontvang je bericht met de beoordeling van de melding en een verwachte oplossingsdatum.
• Wij lossen de geconstateerde zwakke plek zo snel mogelijk op (uiterlijk binnen negentig dagen). In overleg bepalen we of en hoe over het probleem wordt gecommuniceerd.
• Als dank voor je hulp bij het veilig houden van onze omgeving, bieden wij je een beloning. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning (in de vorm van een Amazon- bon) oplopen tot maximaal honderd euro. Het moet hierbij wel gaan om een voor Aces Direct nog onbekend en serieus beveiligingsprobleem.
• Let op: als je een of meerdere meldingen doet die in aanmerking komen voor een vergoeding, vragen wij altijd om identificatie. Dat doen we, omdat we moeten kunnen aantonen wie precies welke vergoeding heeft gekregen.

Alvast bedankt voor je medewerking. Voor meer informatie kun je altijd een mail sturen naar security@acesdirect.nl.

Coordinated Vulnerability Disclosure (CVD) at Aces Direct

Have you found a weak spot in one of Aces Direct's IT systems? Then we would like to hear from you as soon as possible. So we can take the necessary measures.

We have drawn up the policy below. This describes how to deal with reports of vulnerabilities found in Aces Direct's IT systems.

What if you found a weak spot in our system?

• We request that you email this to security@acesdirect.nl as soon as possible. 
• In the e-mail we ask you to include your contact details, so that we can solve the problem as soon as possible. Usually, the IP address or URL of the affected system and a description of the vulnerability will suffice, but more complex vulnerabilities may require more. 
• We ask for a maximum of 3 months to fix the vulnerability before it is shared with third parties. 
• We request that you act responsibly with the knowledge of the security vulnerability by not taking any action that goes beyond what is necessary to demonstrate the security vulnerability. 

Perhaps unnecessary, but we would like to emphasize that the following actions are prohibited by law:

• Placing malware. 
• Copying, modifying or deleting data in a system (an alternative to this is making a directory listing of a system). 
• Making changes to the system. 
• Repeatedly accessing or sharing the system with others. 
• Using the so-called “brute forcing” of access to systems. 
• Using denial-of-service or social engineering. 

What can you expect from Aces Direct?

• Aces Direct treats a report confidentially and does not share personal data with third parties without the consent of the reporter, unless this is required by law or by virtue of a court decision. 
• You will receive a confirmation of your report from us within 3 days. 
• You will receive a message within 7 working days with the assessment of the report and an expected resolution date. 
• We will resolve the identified weakness as quickly as possible (within 90 days at the latest). It can be determined in consultation whether and how the problem will be communicated. 
• As a thank you for helping us keep our systems safe, we're offering a reward. Depending on the level of the security problem and the quality of the report, we offer a reward (an Amazon voucher of max 100 euros). 

Thanks for cooperating. For more information you can always send an email to security@acesdirect.nl.