Responsible Disclosure

Kwetsbaarheid ontdekt? Laat het ons weten.

Bij Pon Holdings B.V. en haar dochterondernemingen vinden we de veiligheid van onze systemen en ons netwerk erg belangrijk. We zijn ervan overtuigd dat een goede beveiliging essentieel is voor het vertrouwen dat onze klanten, leveranciers en medewerkers in ons stellen. Ondanks de zorg voor de beveiliging van onze systemen zou het kunnen voorkomen dat een kwetsbaarheid wordt ontdekt.

Middels ons responsible disclosure beleid vragen wij iedereen die een kwetsbaarheid ontdekt, dit zo snel mogelijk te melden zodat we adequate maatregelen kunnen treffen. We werken graag met je samen om de kwetsbaarheid op te lossen. Ons responsible disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om kwetsbaarheden te ontdekken. Wij monitoren ons netwerk zelf.

Wij vragen je:

  • Jouw bevindingen zo snel mogelijk te versturen naar [email protected]. Als je de melding versleuteld wilt versturen, meld dit dan in je e-mail. Wij geven je dan instructies;
  • Geef ons voldoende informatie om de kwetsbaarheid te reproduceren, zodat we deze zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar voor complexere kwetsbaarheden kan aanvullende informatie nodig zijn;
  • Geen misbruik te maken van de kwetsbaarheid door gegevens te downloaden, bekijken, verwijderen of bewerken;
  • Kwetsbaarheden niet te delen met anderen totdat ze kunnen worden opgelost. Indien u onverhoopt vertrouwelijke informatie heeft verkregen, vragen wij u deze gegevens onmiddellijk te verwijderen;
  • Geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, social engineering, distributed denial of service (DDoS), spam of hacking tools zoals vulnerability scanners.

Wat mag je verwachten:

  • Wij nemen uw melding altijd serieus. Ook vermoedens van kwetsbaarheden zullen wij onderzoeken;
  • Wij reageren op uw melding met onze beoordeling van de melding en een verwachte datum voor de oplossing;
  • Wij houden je op de hoogte van de voortgang van het oplossen van de kwetsbaarheid;
  • Als u zich aan bovenstaande voorwaarden houdt, ondernemen wij geen juridische stappen tegen u naar aanleiding van de melding. Het Openbaar Ministerie behoudt het recht om te beslissen of aanvullend onderzoek noodzakelijk is;
  • Wij behandelen uw melding vertrouwelijk en delen uw persoonsgegevens niet zonder uw toestemming met derden, tenzij dit wettelijk verplicht is, bijvoorbeeld wanneer uw gegevens worden opgevraagd door politie of rechter;
  • Als u een anonieme melding doet, kunnen wij mogelijk geen contact met u opnemen over de vervolgstappen en de voortgang die is geboekt bij het oplossen van de kwetsbaarheid;
  • We kunnen onze dankbaarheid uiten met een blijk van waardering waarvan de waarde kan vari√ęren afhankelijk van de ernst en de kwaliteit van het gemelde probleem. Dit zal gebaseerd zijn op de ernst van de kwetsbaarheid en de kwaliteit van de melding;
  • Op uw verzoek kunnen wij in de communicatie over het incident uw naam vermelden als persoon die de kwetsbaarheid heeft ontdekt;
  • Wij streven ernaar om eventuele kwetsbaarheden zo snel mogelijk na ontdekking te analyseren en indien nodig op te lossen. Ook zullen wij alle belanghebbenden op de hoogte houden van de voortgang van dit proces.

Niet-kwalificerende kwetsbaarheden, inclusief maar niet beperkt tot:

  • Gebreken die voortkomen uit het gebruik van verouderde browsers en plug-ins door de gebruiker. (tabbnabbing, etc.)
  • Denial-of-service attacks.
  • Missing HTTP Security Headers
  • Version in HTTP response/Banner Grabbing (without exploitation)
  • Clickjacking
  • CAA record missing
  • OSCP stapling
  • Same site scripting
  • DMARC/SPF Record Misconfiguration
  • HTTP Trace Method
  • EXIF metadata in images
  • Default webpages with small impact
  • Rate limiting vulnerabilities

Deze  responsible disclosure policy is gebaseerd op de Responsible Disclosure richtlijnen gepubliseerd door het National Cyber Security Center en het voorbeeld Responsible Disclosure is geschreven door Floor Terra.