Hoe meld ik een kwetsbaarheid?
Responsible disclosure
Bij wristers.nl heeft de veiligheid van onze systemen topprioriteit en daarom besteden we veel zorg aan de beveiliging ervan. Toch kan het voorkomen dat ergens een kwetsbaarheid ontstaat. Als u zo’n plek vindt, horen wij dat graag. We kunnen dan zo snel mogelijk maatregelen treffen.
U kunt uw bevindingen mailen naar een speciaal adres: security@managementboek.nl. Indien het om een gevoelige melding gaat, kunt u de boodschap eventueel ook nog versleutelen met onze encryptiesleutel om te voorkomen dat informatie in verkeerde handen valt. Het versleutelen van informatie, vereist enige technische kennis. Onze software developers zullen u graag informeren hoe u dit kunt doen. U kunt bellen met onze klantenservice (010-4091943) of mailen naar bovenstaand mailadres.
Wanneer u een melding van een probleem doet, willen we u vragen om ons voldoende informatie te geven om een probleem te reproduceren. Op die manier kunnen we zo snel mogelijk tot een oplossing komen. Meestal hebben wij genoeg aan een IP-adres of (specifieke) URL waar het probleem optreedt, in combinatie met een omschrijving van de kwetsbaarheid. Bij complexere kwetsbaarheden kunnen we meer informatie vragen. Wij streven ernaar om alle problemen zo snel mogelijk op te lossen. We worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.
Nog een paar spelregels
- Maak geen misbruik van het probleem dat u heeft gevonden, bijvoorbeeld door meer data te downloaden dan nodig is om het probleem aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
- Deel een probleem niet met anderen totdat wij het hebben opgelost.
- Wis alle vertrouwelijke gegevens die u heeft verkregen, direct nadat het probleem is opgelost.
- Maak geen gebruik van aanvallen op onze fysieke beveiliging, psychologische manipulatie, DDoS-aanvallen, phishingmails of spam.
- Maak niet een groot aantal accounts aan en plaats niet een groot aantal bestellingen.
- Als u een of meerdere accounts aanmaakt, gebruik dan een mailadres waarop we contact met u kunnen opnemen.
- Als u een of meerdere bestellingen plaatst, zorg dan dat u ofwel:
- alle bestellingen afrekent;
- duidelijk in het opmerkingenveld vermeldt dat het om een testbestelling gaat in het kader van een kwetsbaarheidsscan;
- contact opneemt met onze klantenservice via info@wristers.nl en uw klant- en ordernummers vermeldt met het verzoek deze te annuleren.
- Vraag geen beloning als voorwaarde voor het vrijgeven van een geconstateerd probleem; dat is namelijk niet in overeenstemming met de gedachte achter 'responsible disclosure'. Dat neemt niet weg dat we bereid zijn om iemand te belonen voor zijn of haar attendering, maar steeds in verhouding tot de gerapporteerde kwetsbaarheid.
- Wanneer u onze website geautomatiseerd scant:
- veroorzaak dan geen hoge belasting en neem een time-out in acht;
- stop met scannen als wij u dat vragen;
- neem een makkelijk herkenbare identifier en/of eenduidige contactinformatie op in de User-Agent header.
- stuur ons geen ongefilterde output van een standaardpakket.
Wat wij beloven
- Wij reageren binnen drie dagen met onze beoordeling van uw melding en een verwachte datum voor een oplossing.
- Wij houden u op de hoogte van de voortgang van het op te lossen probleem.
- Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
- U kunt een melding doen met gebruikmaking van een pseudoniem.
- Als u dit wenst, kunnen we u in berichtgeving over de melding ook vermelden als degene die het probleem ontdekt heeft.
- Indien u de hiervoor vermelde voorwaarden heeft gerespecteerd, ondernemen wij geen juridische stappen tegen u.