Responsible disclosure

De veiligheid van onze websites en systemen staat hoog in het vaandel bij NL Confidential. Ondanks de aandacht en zorg voor de beveiliging van onze websites kan er toch sprake zijn van een zwakke plek in de beveiliging. Als u een dergelijke zwakke plek heeft aangetroffen, vragen wij u om deze informatie met ons te delen. We werken graag met u samen om de situatie adequaat op te lossen en onze websites nog beter te beschermen.

Om misbruik van een zwakke plek te voorkomen, vragen wij u om de volgende richtlijnen te volgen.

Wat vragen wij van u?

  • Meld uw bevindingen zo snel mogelijk door het sturen van een mail aan disclosure@meldmisdaadanoniem.nl. Indien mogelijk versleuteld met onze PGP-key om te voorkomen dat de informatie in verkeerde handen valt.
  • Geef voldoende informatie, zodat we de zwakke plek zo effectief mogelijk kunnen aanpakken.
  • Denk hierbij aan een uitgebreide beschrijving, maar ook aan IP-adressen, de URL’s, logs en screenshots.
  • Deel de informatie niet met anderen totdat de zwakke plek is hersteld.
  • Wis alle vertrouwelijke gegevens die zijn verkregen via de zwakke plek.
  • Maak geen actief misbruik van de zwakke plek door bijvoorbeeld meer data te downloaden dan nodig is om het probleem aan te tonen of gegevens van derden te bekijken, verwijderen of aanpassen.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, social engineering of hacking tools.

Wat zijn onze acties?

  • Wij sturen u een ontvangstbevestiging.
  • We nemen binnen drie werkdagen contact met u op om de melding en de verwachte herstelperiode te bespreken.
  • We behandelen uw melding vertrouwelijk. We delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Wij houden u op de hoogte van de voortgang van het herstel van de zwakke plek.
  • In eventuele berichtgeving over het probleem zullen wij, indien u daar prijs op stelt, uw naam vermelden als ontdekker.
  • Wij ondernemen geen juridische stappen als aan de bovenstaande richtlijnen is voldaan

Het is ons streven om meldingen zo adequaat mogelijk op te lossen. We houden de betrokken partijen op de hoogte van de stand van zaken en wij worden graag betrokken bij eventuele publicatie over het probleem nadat het is opgelost.