Coordinated Vulnerability Disclosure

Indien u een zwakke plek in een van de ICT-systemen van Guardian360 B.V. (Guardian360) heeft gevonden, vernemen wij dit graag van u zodat zo snel mogelijk de benodigde maatregelen kunnen worden getroffen.

 

Guardian360 wil graag met u samenwerken om de veiligheid van de eigen ICT-systemen nog beter te kunnen beschermen. Met het oog hierop voert Guardian360 onderstaand beleid inzake de omgang met meldingen van door u geconstateerde kwetsbaarheden in de ICT-systemen van Guardian360. Hieraan mag u Guardian360 houden wanneer u een zwakke plek aantreft in een van de systemen.

 

Wij vragen u:

  • Uw bevindingen te mailen naar security@guardian360.nl.
  • Voldoende informatie te geven om het probleem te reproduceren zodat Guardian360 het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Contactgegevens achter te laten zodat Guardian360 met u in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal een email adres of telefoonnummer achter.
  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

 

Vermijd dus in elk geval de volgende handelingen:

  • Het plaatsen van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
  • Het gebruik maken denial-of-service of social engineering.

 

Wat u mag verwachten:

  • Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ict-systeem van Guardian360 aan bovenstaande voorwaarden voldoet, zal Guardian360 geen juridische consequenties verbinden aan deze melding.
  • Guardian360 behandelt een melding vertrouwelijk en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Guardian360 stuurt u binnen 3 werkdagen een ontvangstbevestiging.
  • Guardian360 reageert binnen 7 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • Guardian360 houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
  • Guardian360 lost het door u geconstateerde beveilingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 90 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
  • Guardian360 biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot maximaal een bedrag van 300 euro aan cadeaubonnen. Het moet hierbij wel gaan om een voor Guardian360 nog onbekend en serieus beveiligingsprobleem.