Kwetsbaarheid melden (CVD-beleid)
Wij hechten veel waarde aan de veiligheid van onze systemen. Ondanks onze inspanningen kunnen er kwetsbaarheden aanwezig zijn. Mocht u een kwetsbaarheid ontdekken, dan vragen wij u dit eerst bij ons te melden, zodat wij zo snel mogelijk passende maatregelen kunnen treffen. Dit beleid heet Coordinated Vulnerability Disclosure en beschrijft hoe wij omgaan met dergelijke meldingen.
Wat verwachten wij van u?
- Meld de kwetsbaarheid zo snel mogelijk via CVD@zorgttp.nl. Wij vragen u om dit emailadres alleen te gebruiken als u een CVD-melding wilt doen.
- Wij vragen u om ons voldoende informatie te geven om het probleem (Proof-of-Concept) dat de kwetsbaarheid veroorzaakt te reproduceren (zoals type kwetsbaarheid, IP-adressen, URL’s, beschrijving van de kwetsbaarheid, screenshots, logs, etc.). Zo kunnen we de impact van de kwetsbaarheid zo goed en snel mogelijk inschatten
- We zouden het waarderen als u contactgegevens achterlaat. Zo kunnen wij u bereiken als we naar aanleiding van de melding nog vragen hebben.
- Wij vragen u alleen te testen binnen de grenzen van de wet en volgens de door ons toegestane onderzoeksmethoden. Maak geen misbruik van de kwetsbaarheid (bijv. door gegevens te downloaden, te wijzigen of te verwijderen). Plaats ook geen malware en creëer geen alternatieve toegangsmogelijkheden zoals backdoors. Voer ten slotte geen aanvallen uit zoals Brute Force, (Distributed) Denial of Service, Social Engineering of Fysieke Inbraak.
- Ga verantwoordelijk om met de kennis over de kwetsbaarheid. Verricht geen handelingen die verder gaan dan wat nodig is om de kwetsbaarheid aan te tonen.
- De kwetsbaarheid vertrouwelijk te houden totdat deze is verholpen. Deel totdat wij de kwetsbaarheid hebben verholpen dus geen informatie met derden.
Wat mag u van ons verwachten?
- U krijgt binnen één werkdag een ontvangstbevestiging. Wij reageren uiterlijk binnen 5 werkdagen op uw melding.
- Wij behandelen uw melding vertrouwelijk en delen uw gegevens niet zonder toestemming.
- Wij lossen het probleem zo snel mogelijk op en streven ernaar u op de hoogte te houden van de voortgang.
- Vermelden uw naam als ontdekker in onze Hall of Fame (indien gewenst).
- Omdat wij een not-for-profit organisatie zijn, bieden wij u naast eeuwige roem, in sommige gevallen een bescheiden beloning als blijk van waardering. Afhankelijk van de ernst van de kwetsbaarheid, kan de beloning variëren van een T-shirt tot een cadeaubon.
- Geen juridische stappen tegen u zullen ondernemen als u zich aan dit beleid houdt.
- Zullen uw gegevens niet met derden delen, tenzij dit op basis van een wet of een gerechtelijke uitspraak verplicht is.
Scope
Onder dit beleid vallen de volgende systemen/domeinen:
- Alle publieke endpoints behorende bij het .zorgttp.nl domein
Systemen buiten deze lijst vallen niet onder dit beleid. Bij pogingen om kwetsbaarheden te ontdekken en te exploiteren op welke manier dan ook zullen wij juridische stappen tegen u ondernemen.
Toegestane onderzoeksmethoden
Toegestane onderzoeksmethoden onder dit beleid zijn:
- Passieve scans;
- Handmatige inspectie van publieke interfaces;
- Gebruik van tools die geen overlast veroorzaken.
Datalek melden
Heeft u het vermoeden dat er gevoelige informatie van ZorgTTP of van een van onze opdrachtgevers (onbedoeld) via ZorgTTP is gelekt? En heeft u hierbij of aanwijzingen dat hier persoonsgegevens bij zijn betrokken? Meld dit dan zo snel mogelijk. U kunt dit doen per email via FG@zorgttp.nl.
We vragen u ons hierbij voldoende informatie te geven over de gegevens waarvan u aanwijzingen heeft dat deze zijn gelekt, eventueel ondersteund door bewijsstukken. Laat alstublieft ook uw contactgegevens achter. Dan kunnen wij voor aanvullende vragen contact met u opnemen.
Voor dit type incidenten heeft ZorgTTP speciale procedures ingericht. De FG van ZorgTTP coördineert dit samen met de CISO van ZorgTTP. Samen zien zij toe op de afhandeling van de melding en dragen zij zorg voor mogelijke verbeteringsmaatregelen binnen ZorgTTP.