Responsible Disclosure – Kwetsbaarheid melden

(English version) 

Bij Vektis vinden wij de veiligheid van onze systemen erg belangrijk. Mocht je ondanks onze zorg voor de beveiliging toch een zwakke plek vinden in een van onze systemen, dan horen wij dat graag zo snel mogelijk. Wij willen graag met jou samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Wij vragen je:

  • Je bevindingen te mailen naar its@vektis.nl. Versleutel jouw bevindingen met onze PGP-key om te voorkomen dat de informatie in verkeerde handen valt.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen, de gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Het probleem niet met anderen te delen totdat het is opgelost. En alle vertrouwelijke gegevens die zijn verkregen via het lek te wissen direct na het dichten van het lek.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, Distributed Denial of Service (DDoS), phishing, spam of applicaties van derden.
  • Voldoende informatie te geven om het probleem te weergeven zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Soms kan er bij complexere kwetsbaarheden meer nodig zijn.

Wat wij beloven:

  • Wij reageren binnen 5 werkdagen op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als je je aan bovenstaande voorwaarden hebt gehouden zullen wij geen juridische stappen tegen je ondernemen betreffende de melding.
  • Wij behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • Indien gewenst zullen wij je naam vermelden als de ontdekker in de berichtgeving over de gemelde kwetsbaarheid.

Responsible disclosure

At Vektis, we consider the security of our systems to be of the utmost importance. Despite our care for the security of our systems, there still may be weaknesses.

If you have found a weakness in one of our systems, we would like to hear about it so we can take measures as quickly as possible. We would like to work with you to better protect our customers and systems.

We ask you:

  • To e-mail your findings to its@vektis.nl. Encrypt your findings with our PGP key to prevent the information from falling into the wrong hands.
  • Not to misuse the problem by, for example, downloading more data than necessary to demonstrate the leak or viewing, deleting or modifying third-party data.
  • Not to share the problem with others until it is resolved and delete all confidential data obtained through the leak immediately after the leak is closed.
  • Not to use physical security attacks, social engineering, distributed denial of service, phishing, spam or third-party applications.
  • To provide sufficient information to reproduce the problem so that we can fix it as soon as possible. Usually, the IP address or URL of the affected system and a description of the vulnerability is sufficient, but more may be required for more complex vulnerabilities.

What we promise:

  • We will respond to your report within 5 working days with our assessment and an expected date for a resolution.
  • If you have complied with the above conditions, we will not take any legal action against you regarding the report.
  • We will treat your report confidentially and will not share your personal information with third parties without your consent, unless we are obligated to do so by law. Reporting under a pseudonym is possible.
  • We will keep you updated on the progress in resolving the problem.
  • If you so wish, we will credit you as the discoverer in any reporting on the found vulnerability.