Zwakke plek in onze systemen
Onze gemeente vindt beveiliging aan haar systemen belangrijk en doet daar ook alles aan. Ondanks dat blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek in één van onze systemen ontdekt, horen wij dit graag van u. Wij nemen dan snel gepaste maatregelen. Als u een melding maakt, gaat u automatisch akkoord met afspraken over Coordinated Vulnerability Disclosure.
Onze vragen aan u
- mail uw informatie via e-mail naar ons. Versleutel uw informatie als dit mogelijk is, u voorkomt hiermee dat deze in verkeerde handen valt
- geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van de 'zwakke' plek en een omschrijving daarvan voldoende
- uw tips die ons helpen het probleem op te lossen, zijn welkom. Wij horen graag oplossingen die we kunnen checken en die over de 'zwakke' plek gaan. Tips over reclame voor (beveiligings)producten nemen wij niet over
- geef bij uw melding minstens 1 e-mailadres of telefoonnummer door waarop u overdag bereikbaar bent
- stuur uw melding over de 'zwakke' plek alstublieft zo snel mogelijk naar ons op
Wij staan niet toe
- het plaatsen van malware op onze systemen of op die van anderen. Dit betekent software die schade aan de systemen van de gemeente kan aanrichten
- het “bruteforcen” om toegang tot systemen te krijgen. Dit betekent geforceerd toegang tot systemen te krijgen
- gebruik van social engineering op alle vormen van informatie op en over onze systemen
- het openbaar maken of aan anderen informatie doorgeven over het beveiligingsprobleem voordat wij dit hebben opgelost
- het verrichten van handelingen die niet nodig zijn om het beveiligingsprobleem aan te tonen en/of te melden. Wij rekenen op uw integriteit
- het veranderen of verwijderen van gegevens in onze systemen
- DoS-aanvallen. Dit betekent gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van onze systemen of services verminderen
- het op welke manier ook misbruik maken van de kwetsbaarheid
Wat wij doen
- als u zich houdt aan de genoemde voorwaarden, doen wij geen aangifte. Houdt u zich niet aan de genoemde voorwaarden? Dan kunnen wij een civielrechtelijke zaken aanspannen of strafrechtelijke aangifte doen
- wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming. Dit doen wij wel als wij hiertoe wettelijk de verplichting hebben of bij een rechterlijke uitspraak
- als u dit wilt, kunnen wij uw naam vermelden als ontdekker van de gemelde 'zwakke' plek
- u krijgt binnen 1 werkdag een (automatische) ontvangstbevestiging
- u krijgt binnen 5 werkdagen een reactie op uw melding. Hierin leest u de 1e beoordeling van de melding en een verwachte datum voor een oplossing
- wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op. Daarbij informeren wij u over de voortgang. Wij proberen het probleem binnen 90 dagen op te lossen. Wij zijn daarbij vaak wel afhankelijk van leveranciers
- in overleg bepalen wij of en hoe wij het probleem bekendmaken
- wij kunnen u een beloning bieden als dank voor de hulp. De hoogte daarvan hangt af van de ernst van het beveiligingsprobleem en de kwaliteit van de melding. Belonen doen wij alleen bij een nog onbekend en serieus beveiligingsprobleem