responsible disclosure

Bij ‘responsible disclosure’ gaat het om het op een verantwoorde manier openbaar maken van zwakke plekken in ICT-systemen.
GAMMA vindt de veiligheid en privacy van haar klanten erg belangrijk. Daarom beveiligen we onze website en systemen zo goed mogelijk. Als u een zwakke plek in de beveiliging van één van onze systemen vindt, horen we dat graag van u. We nemen dan zo snel mogelijk maatregelen om onze systemen nóg beter te beveiligen.

Wat vragen wij van u?

- Mail uw bevindingen naar security-alert@intergamma.nl Versleutel deze met onze PGP key om te voorkomen dat de informatie in verkeerde handen valt. 

- Maak geen misbruik van wat u hebt ontdekt, door bijvoorbeeld meer data dan nodig te downloaden of door gegevens van derden te bekijken, aan te passen of te verwijderen.

- Deel het probleem niet met anderen totdat het is opgelost. Wis meteen na het dichten van het lek alle vertrouwelijke gegevens die u via het lek hebt verkregen.

- Maak geen gebruik van:
• aanvallen op de fysieke beveiliging
• social engineering
• Distributed Denial of Service aanvallen
• spam
Voer geen aanvallen uit op applicaties van derden.

- Geef voldoende informatie om het probleem te kunnen reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kunnen extra gegevens nodig zijn.

Wat kunt u van ons verwachten?

Wij streven ernaar binnen 3 dagen op uw melding te reageren. U hoort dan van ons hoe we de melding beoordelen en wanneer we die verwachten op te lossen.

Als u zich aan de voorwaarden die hierboven staan hebt gehouden, ondernemen wij geen juridische stappen tegen u.

Wij behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet zonder uw toestemming met derden. Behalve wanneer dit noodzakelijk is om een wettelijke verplichting na te komen. Als u dat wilt, kunt u melden onder een schuilnaam.

Wij houden u op de hoogte van de oplossing van het probleem.

Als u dat wilt, noemen wij u als ontdekker in berichtgeving over het probleem.

Voor elke melding van een ons nog onbekend beveiligingsprobleem, geven wij een beloning. De grootte van deze beloning hangt af van de ernst van de zwakke plek en de kwaliteit van de melding. De minimale beloning is een waardebon van 50 euro.

Uitgesloten van beloning zijn:

  • Kwetsbaarheden die gevonden zijn in applicaties van derden;
  • Kwetsbaarheden die gevonden zijn in websites van derden die geïntegreerd zijn in onze omgeving;
  • DDoS-aanvallen of DoS-aanvallen (Distributed Denial of Service of Denial of Service aanvallen);
  • Spam-aanvallen;
  • Het zich toegang verschaffen door social engineering technieken te gebruiken.
  • Brute Force-aanvallen.

Wij streven ernaar om alle veiligheidsproblemen zo snel mogelijk op te lossen. Graag worden wij betrokken bij een eventuele publicatie over het probleem nadat dit is opgelost.

Deze informatie komt grotendeels van responsibledisclosure.nl.