Beleid van gecoördineerde bekendmaking van kwetsbaarheden

Doccle vindt het heel belangrijk dat haar informatie en systemen veilig zijn. Ondanks onze grootste zorg voor de beveiliging van deze systemen kan het voorkomen dat er toch een kwetsbaarheid is.

Als je een kwetsbaarheid in één van onze systemen hebt gevonden, dan horen wij dit graag zodat wij zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met jou samenwerken om ons publiek en onze systemen beter te kunnen beschermen.

Daarom hebben wij gekozen voor een ‘beleid van gecoördineerde bekendmaking van kwetsbaarheden’ (ook gekend als ‘Responsible Disclosure Policy’), zodat je ons kan informeren wanneer je een kwetsbaarheid ontdekt.

Deze Responsible Disclosure Policy is van toepassing op alle systemen van Doccle.  Bij elke twijfel vragen we om contact op te nemen om duidelijkheid te verkrijgen via security@doccle.nl.

Wat wij van jou vragen?

Als je een kwetsbaarheid ontdekt in één van onze systemen, vragen wij jou:

Melden van de kwetsbaarheid

  • De kwetsbaarheid zo snel mogelijk na de ontdekking te melden. Mail je bevindingen naar security@doccle.nl en versleutel ze met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt.

  • Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

  • Je contactgegevens achter te laten, zodat Doccle met jou in contact kan treden om samen te werken aan een veilig resultaat. Laat minstens je naam, e-mailadres en/of telefoonnummer achter. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat wij je kunnen contacteren als wij bijkomende vragen hebben.

  • Te bevestigen dat je conform deze Responsible Disclosure Policy hebt gehandeld en zult blijven handelen

Regels die je dient na te leven

  • De kwetsbaarheid niet openbaar te maken totdat wij de kwetsbaarheid hebben kunnen corrigeren. Zie hieronder voor eventuele publicatie achteraf.
  • De kwetsbaarheid niet te misbruiken door onnodig data te kopiëren, te verwijderen, aan te passen of in te kijken. Of door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen.

  • De volgende handelingen niet toe te passen:

    • Het plaatsen van malware (virus, worm, Trojaans paard enz.).

    • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem.

    • Het aanbrengen van veranderingen in het systeem.

    • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.

    • Het gebruik maken van geautomatiseerde scantools.

    • Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.

    • Het gebruik maken van denial-of-service of social engineering (phishing, vishing, spam, …).

  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.

  • Alle gegevens die zijn verkregen via de kwetsbaarheid meteen te wissen na de melding.

  • Geen handelingen uit te voeren die een mogelijke impact kunnen hebben op de goede werking van het systeem, zowel naar beschikbaarheid als naar performantie toe, maar ook  naar confidentialiteit en integriteit van de data toe.

Handelingen onder dit beleid moeten beperkt blijven tot het uitvoeren van tests om potentiële kwetsbaarheden te identificeren, en het delen van deze informatie met Doccle.

Indien je, nadat de kwetsbaarheid is verwijderd, over de kwetsbaarheid wenst te publiceren, verzoeken wij je om ons dit minstens één maand voor de publicatie te melden, en om ons de mogelijkheid te geven hierop te reageren. Ons identificeren, rechtstreeks of onrechtstreeks,  in een publicatie kan slechts na ons uitdrukkelijk akkoord.

Wat wij beloven

  • Als je je aan bovenstaande voorwaarden van de Responsible Disclosure Policy hebt gehouden en geen andere inbreuken hebt begaan, zullen wij geen juridische stappen tegen jou ondernemen.
  • Wij reageren binnen een korte termijn, indien mogelijk binnen de 10 werkdagen, op je melding met onze beoordeling van de melding en een eventuele verwachte datum voor een oplossing.

  • Wij behandelen je melding vertrouwelijk en zullen uw persoonsgegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.

  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.

  • Wij streven er naar om alle problemen binnen een korte termijn op te lossen.

  • Wij mogen ervoor kiezen om meldingen van lagere kwaliteit te negeren.

Indien je vragen zou hebben, moedigen wij je aan om deze te richten tot security@doccle.nl

Gelieve bij twijfel over de toepasbaarheid van deze policy eerst contact op te nemen via dit e-mailadres, om expliciete toestemming te vragen.

Toepassenlijk recht: Het Belgisch recht is van toepassing op geschillen in verband met de toepassing van dit beleid.

Duur: De regels van het beleid zijn toepasselijk vanaf 19/09/2023 tot ze eventueel worden gewijzigd of opgeheven door Doccle. Deze wijzigingen of opheffingen worden bekendgemaakt op de website van Doccle en zijn automatisch van toepassing 30 dagen na de bekendmaking ervan.

Deze tekst is een afgeleid werk van “Responsible Disclosure” van Floor Terra, gebruikt onder een Creative Commons Naamsvermelding 3.0 licentie.

initgriti

Doccle werkt ook samen met Intigriti.com. Ben je een researcher voor Intigriti dan verzoeken we jou om je bevindingen te delen via het Intigriti platform.