Gecoördineerde openbaarmaking van kwetsbaarheden | Guardian360

 

Indien u een zwakte in een van de ICT-systemen van Guardian360 B.V. (Guardian360) heeft gevonden, horen wij dit graag zodat wij zo snel mogelijk de nodige maatregelen kunnen treffen. Guardian360 wil graag met u samenwerken om de beveiliging van hun eigen ICT-systemen verder te verbeteren. Met dit in gedachten hanteert Guardian360 het volgende beleid met betrekking tot de afhandeling van meldingen van door u gedetecteerde kwetsbaarheden in de ICT-systemen van Guardian360. U kunt Guardian360 aan dit beleid houden wanneer u een kwetsbaarheid in een van de systemen aantreft.

WIJ VRAGEN U OM:

  • Uw bevindingen te sturen naar security@guardian360.nl
  • Voldoende informatie te verstrekken om het probleem te reproduceren, zodat Guardian360 het zo snel mogelijk kan oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexe kwetsbaarheden kan meer nodig zijn.
  • Laat uw contactgegevens achter, zodat Guardian360 contact met u kan opnemen om samen te werken aan een veilige uitkomst. Laat ten minste een e-mailadres of telefoonnummer achter.
  • Meld de kwetsbaarheid zo snel mogelijk nadat u deze hebt ontdekt.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoord om met de kennis over het beveiligingsprobleem door geen acties te ondernemen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Vermijd onder geen enkele omstandigheid de volgende handelingen:

  • Malware plaatsen.
  • Gegevens in een systeem kopiëren, wijzigen of verwijderen (een alternatief is om een ​​directorylijst van een systeem te maken).
  • Wijzigingen aanbrengen in het systeem.
  • Herhaaldelijk toegang verkrijgen tot het systeem of toegang delen met anderen.
  • De zogenaamde “brute force”-methode gebruiken om toegang te krijgen tot systemen.
  • Denial-of-service- of social engineering-technieken gebruiken.

WAT U KUNT VERWACHTEN:

  • Indien u bij het melden van een kwetsbaarheid in een ICT-systeem van Guardian360 aan bovenstaande voorwaarden voldoet, verbindt Guardian360 geen juridische consequenties aan deze melding.
  • Guardian360 behandelt een melding vertrouwelijk en deelt persoonsgegevens niet met derden zonder toestemming van de melder, tenzij dit vereist is op grond van de wet of een gerechtelijk bevel.
  • Guardian360 stuurt u binnen 3 werkdagen een ontvangstbevestiging.
  • Guardian360 reageert binnen 7 werkdagen op een melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Guardian360 houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
  • Guardian360 lost het door u geïdentificeerde beveiligingsprobleem in een systeem zo snel mogelijk op, maar uiterlijk binnen 90 dagen. Er kan onderling worden besloten of en hoe het probleem wordt bekendgemaakt nadat het is opgelost.
  • Guardian360 biedt een beloning als blijk van waardering voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan deze beloning variëren van een T-shirt tot maximaal 300 euro aan cadeaubonnen. Dit moet een onbekend en ernstig beveiligingsprobleem zijn voor Guardian360.