Coordinated Vulnerability Disclosure Pantein (CVD)

Als organisatie hechten we veel waarde aan veilige programmatuur, (medische) apparatuur en diensten. Ondanks de zorg hiervoor kan er toch sprake zijn van een kwetsbaarheid. Wanneer u zo’n kwetsbaarheid ontdekt, kunt u dit veilig aan ons melden. Op deze manier kan Pantein beschermende maatregelen treffen. Deze aanpak is de zogenaamde Coordinated Vulnerability Disclosure (CVD).


Melding maken van een kwetsbaarheid

Wanneer u kwetsbaarheden volgens ons Coordinated Vulnerability Disclosure beleid aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan uw melding. Het is belangrijk dat u zich hierbij houdt aan de volgende regels:

  • U meldt uw bevindingen bij Stichting Z-CERT door een e-mail te sturen naar cvd@z-cert.nl. U kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die voor Pantein Coordinated Vulnerability Disclosure meldingen afhandelt. Zij werken samen met u als melder en met Pantein om te zorgen dat uw melding wordt opgepakt.
  • In uw melding verstrekt u voldoende informatie zodat het probleem duidelijk is. Op die manier kunnen wij het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie noodzakelijk.
  • U misbruikt de geconstateerde kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
  • Als u vermoedt dat u via een kwetsbaarheid medische gegevens kunt inzien, dan vragen wij u om dit niet zelf te verifiëren maar dit door ons te laten doen.
  • U deelt uw bevindingen niet met anderen voordat het is opgelost. Daarnaast vragen we u om alle vertrouwelijke gegevens die u heeft verkregen, na het dichten van het lek, direct te wissen.
  • U doet geen aanval(len) op onze fysieke beveiliging en maakt geen gebruik van social engineering, distributed denial of service, spam, brute-force aanvallen en/of applicaties van derden.

 

Hoe wij omgaan met uw melding:

  • Pantein en Z-CERT behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
  • U krijgt een ontvangstbevestiging van Z-CERT en binnen 3 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als melder van het probleem houdt Z-CERT u op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over de gemelde kwetsbaarheid zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker. Deze ontdekkers worden gepubliceerd in de Hall of Fame.

 

Problemen lossen we graag zo snel mogelijk op. Dank voor uw betrokkenheid.

 

Met dank aan Floor Terra voor zijn voorbeeldtekst op http://responsibledisclosure.nl/