Openbaarmaking van kwetsbaarheden
Bij TKH Security beschouwen we de veiligheid van onze systemen, ons netwerk en onze producten als topprioriteit. Desondanks is het mogelijk dat er een kwetsbaarheid wordt ontdekt, waarvoor we alle bevindingen/informatie op prijs stellen zodat we zo snel mogelijk maatregelen kunnen nemen. We hechten veel waarde aan een goede samenwerking met onze klanten om systemen beter te beschermen.
Melding
Graag verzoeken wij je om eventuele bevindingen zo spoedig mogelijk na ontdekking te melden op: privacy-security@tkhsecurity.com
Wij vragen je om:
- Zo snel mogelijk te rapporteren om te voorkomen dat kwaadwillenden de kwetsbaarheid vinden en er misbruik van maken;
- Op vertrouwelijke wijze aan de organisatie te rapporteren om te voorkomen dat anderen toegang krijgen tot deze informatie;
- Voldoende informatie te geven om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Een beschrijving van de kwetsbaarheid is meestal voldoende, maar voor complexere kwetsbaarheden kan meer nodig zijn;
- De kwetsbaarheid of het probleem niet bekend te maken aan anderen tot het is opgelost;
- Geen eigen achterdeur in een informatiesysteem te plaatsen om vervolgens de kwetsbaarheid aan te tonen, aangezien dit extra schade kan veroorzaken en onnodige veiligheidsrisico’s met zich mee kan brengen;
- Een kwetsbaarheid niet verder te misbruiken dan nodig is om de kwetsbaarheid vast te stellen;
- Geen gegevens van het systeem te kopiëren, wijzigen of verwijderen. Een alternatief hiervoor is het maken van een directorylijst van een systeem;
- Geen wijzigingen aan te brengen in het systeem;
- Het systeem niet herhaaldelijk te openen en het niet te delen met anderen;
- Geen brute force-aanvallen, social engineering, fysieke beveiliging, social engineering, distributed denial of service, spam of toepassingen van derden te gebruiken om toegang te krijgen tot systemen..
Wat wij beloven
- Wij reageren binnen 5 dagen op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing;
- Als je aan de bovenstaande voorwaarden hebt voldaan, zullen wij geen juridische stappen tegen je ondernemen met betrekking tot het rapport;
- Wij behandelen je melding vertrouwelijk en zullen je persoonlijke informatie niet zonder je toestemming met derden delen, tenzij dit noodzakelijk is om aan een wettelijke verplichting te voldoen. Melden onder een pseudoniem of anoniem is mogelijk;
- Wij houden je op de hoogte van de voortgang van het oplossen van het probleem;
- In de rapportage over het gemelde probleem vermelden we, als je dat wilt, je naam als de ontdekker;
- Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en zijn graag betrokken bij elke publicatie over het probleem nadat het is opgelost.
Ons zogenaamde gecoördineerde beleid voor het openbaar maken van kwetsbaarheden is geen uitnodiging om ons netwerk of onze systemen actief te scannen op zwakke plekken. Wij monitoren ons bedrijfsnetwerk zelf, waardoor de kans groot is dat wij je scan oppikken, wat tot onnodige kosten kan leiden. Dit beleid is opgesteld op basis van de richtlijnen Coordinated Vulnerability Disclosure policy (CVD) van het Nationaal Cyber Security Centrum (NCSC).