Kwetsbaarheid melden

https://raalte.nl/.well-known/security.txtexterne-link-icoon

We doen er alles aan om onze systemen goed te beveiligen. Toch kan het gebeuren dat je een zwakke plek ontdekt. Laat het ons dan weten. Zo kunnen we het probleem snel oplossen en onze digitale omgeving veilig houden.

Als je zo’n melding bij ons doet, ga je akkoord met de afspraken over Responsible Disclosure op deze pagina. Wij behandelen je melding ook volgens deze afspraken.

Wat we van je vragen:

  • Mail je melding naar ciso@dowr.nl.
  • Geef genoeg informatie, zodat we het probleem kunnen namaken en onderzoeken. Denk aan de URL of het IP-adres van het systeem en een duidelijke omschrijving van het probleem.
  • Laat je contactgegevens achter (zoals je e-mailadres of telefoonnummer), zodat we je kunnen bereiken.
  • Meld de kwetsbaarheid zo snel mogelijk, het liefst direct nadat je het ontdekt.
  • Geef alleen feitelijke informatie over het probleem. Heb je tips voor een oplossing? Graag, zolang het geen reclame is voor een bepaald product.

Wat je niet mag doen

We willen samenwerken op een veilige manier. Daarom vragen we je om het volgende niet te doen:

  • Malware installeren (niet bij ons en niet bij anderen)
  • Wachtwoorden of toegang ‘bruteforcen’
  • Social engineering gebruiken
  • Gegevens bekijken, kopiëren, aanpassen of verwijderen
  • De kwetsbaarheid openbaar maken voordat die is opgelost
  • Meer doen dan nodig is om het probleem aan te tonen (bijvoorbeeld: geen database kopiëren als een directory listing genoeg is)
  • DDoS-aanvallen uitvoeren of systemen onbruikbaar maken
  • De kwetsbaarheid zelf misbruiken

Wat je van ons kunt verwachten

  • Je krijgt binnen 1 werkdag een ontvangstbevestiging.
  • Binnen 3 werkdagen ontvang je een inhoudelijke reactie.
  • We lossen het probleem zo snel mogelijk op. Meestal binnen 90 dagen, afhankelijk van de complexiteit en betrokken leveranciers.
  • We houden je op de hoogte van de voortgang.
  • In overleg kunnen we je naam vermelden als ontdekker van het probleem – of je blijft anoniem, als je dat liever hebt.
  • We delen je melding met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zij helpen gemeenten van elkaar te leren.
  • We behandelen je melding vertrouwelijk. We delen je gegevens nooit zonder toestemming, tenzij we daar wettelijk toe verplicht zijn.
  • Als dank voor je hulp kun je van ons een passende beloning krijgen. Dat hangt af van de ernst van het probleem en de kwaliteit van je melding. Het moet gaan om een nieuw en serieus beveiligingsprobleem. Let op: eventuele belastingen of andere kosten voor het ontvangen van een beloning zijn voor je eigen rekening.