Beveiligingslek melden (Coordinated Vulnerability Disclosure – CVD)
Bij EDSN hechten we grote waarde aan de veiligheid van onze systemen en gegevens. Ondanks onze inspanningen kan het voorkomen dat er toch een kwetsbaarheid aanwezig is. We nodigen je uit om met ons samen te werken aan het verbeteren van onze digitale veiligheid.
Wat is een beveiligingslek?
Een beveiligingslek, ook wel vulnerability genoemd, is een zwakke plek in een systeem, applicatie of netwerk dat kan worden misbruikt door een aanvaller. Het uitbuiten van beveiligingslekken kan leiden tot veiligheidsrisico’s. In het slechtste geval kunnen systemen uitvallen (beschikbaarheid), kunnen data in een systeem worden gewijzigd (integriteit) of worden data toegankelijk voor personen die daar niet toe gemachtigd zijn (vertrouwelijkheid).
Hoe meld ik een beveiligingslek?
Meld een (vermoedelijk) beveiligingslek aan EDSN via het formulier onderaan de pagina of stuur een mail naar [email protected].
Vermeld in je melding:
- Een duidelijke beschrijving van het probleem
- Stappen om het probleem te reproduceren
- Je contactgegevens (communicatie vindt bij voorkeur plaats via e-mail).
Wij vragen je:
- Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen, of gegevens van derden in te kijken, verwijderen of aanpassen.
- Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek te verwijderen nadat we de melding in behandeling hebben genomen.
- Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Bij complexe kwetsbaarheden kan meer informatie nodig zijn. Wij nemen daarover dan contact met je op.
Onze uitgangspunten:
- Binnen drie werkdagen ontvang je een bevestiging van ontvangst en een eerste reactie op je melding. We houden je op de hoogte van de voortgang en betrekken je bij de afhandeling indien nodig.
- Als je je zich aan bovenstaande voorwaarden hebt gehouden nemen wij geen juridische stappen tegen je ondernemen over de melding.
- Wij behandelen jouw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk,
- In berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, jouw naam vermelden als de ontdekker.
- EDSN biedt geen financiële beloning of andere compensatie voor meldingen van kwetsbaarheden. Je bijdrage wordt echter zeer gewaardeerd en kan publiekelijk worden erkend in bijvoorbeeld een Hall of Fame
Wij streven ernaar om alle problemen zo snel mogelijk op te lossen.