Coordinated Vulnerability Disclosure - Melding en Beleid

Coordinated Vulnerability Disclosure

Melding en Beleid

Vanuit ICT vinden wij het van wezenlijk belang dat ICT-systemen veilig zijn en dat de systemen, netwerken en producten van ICT voldoen aan de hoogste beveiligingseisen. Ondanks alle maatregelen die wij hiervoor nemen kan het gebeuren dat er een zwakke plek in een van deze systemen voorkomt.

Maak een CVD melding

Als u een zwakke plek in een van deze systemen of producten aantreft hoort ICT Group dat graag zo snel mogelijk van u, zodat wij snel additionele maatregelen kunnen nemen om de beveiliging te verbeteren. ICT Group heeft hiervoor een Coordinated Vulnerability Disclosure beleid opgesteld. Vul het onderstaande formulier in, indien u een CVD melding wilt plaatsen.

CVD Melding

We gaan vertrouwelijk met uw gegevens om. Lees ons privacy statement.

Coordinated Vulnerability Disclosure beleid

Procedure voor gecoördineerde openbaarmaking van kwetsbaarheden

De procedure voor gecoördineerde openbaarmaking van kwetsbaarheden heeft als doel het opstellen van beleid en richtlijnen voor gecoördineerde openbaarmaking van kwetsbaarheden (Coordinated Vulnerability Disclosure/CVD). Hiermee scheppen we duidelijkheid over de te nemen maatregelen wanneer ICT Group werknemers of externe partijen beveiligingslekken ontdekken in onze systemen, netwerken en producten.

Regels voor gecoördineerde openbaarmaking van kwetsbaarheden

Om de beveiliging van ICT Group te verbeteren, verzoeken wij het volgende: 

  • Meld uw bevindingen door het bovenstaande webformulier in te vullen.
  • Stuur ons voldoende informatie over de gevonden kwetsbaarheid, zodat wij deze naar behoren kunnen onderzoeken. Om uw handelingen efficiënt te reconstrueren, vragen we in elk geval een IP-adres/URL en een beschrijving van de kwetsbaarheid.
  • Stuur ons de volgende contactgegevens: telefoonnummer of e-mailadres (van een externe melder), zodat wij bij vragen contact kunnen opnemen met degene die de melding heeft gedaan.
  • Deel geen informatie over de kwetsbaarheid met anderen totdat het probleem is opgelost.
  • Ga verantwoordelijk om met deze kennis over de kwetsbaarheid. Verricht geen handelingen die verder gaan dan wat nodig is om de kwetsbaarheid aan te tonen.

Het volgende is niet toegestaan:

  • Het gebruik van denial-of-service aanvallen, social engineering of op enig andere manier onze services ernstig hinderen.
  • Het kopiëren, wijzigen of verwijderen van onze gegevens.
  • Het aanbrengen van veranderingen in een systeem.
  • Het plaatsen van malware.
  • Het gebruikmaken van zogeheten “brute force” voor toegang tot systemen.

Wat u van ICT Group kunt verwachten:
 
Indien u zich aan bovenstaande voorwaarden hebt gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding.

  • Wij reageren binnen 3 werkdagen op uw melding.
  • U ontvangt binnen 30 dagen onze technische beoordeling van uw melding en vervolgens instructies over de benodigde 'black-outperiode' om de kwetsbaarheid op te lossen, indien van toepassing.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij wij wettelijk verplicht zijn om gegevens aan autoriteiten te verstrekken. 
  • Uw rapport wordt door ons technisch personeel beoordeeld, rekening houdend met de mogelijke gevolgen. Over hun beoordeling is geen discussie mogelijk.  
  • Indien op basis van de beoordeling de openbaarmaking gegrond wordt geacht, en als blijk van waardering voor uw inspanningen om samen met ons de cyberbeveiliging te verbeteren, bieden wij u aan uw naam op de "Coordinated vulnerability disclosure Wall of Fame" te plaatsen. Dubbele meldingen worden niet in behandeling genomen.