Coordinated Vulnerability Disclosure

Link-it werkt hard aan het behouden en verbeteren van veilige ICT-systemen. Toch kunnen er kwetsbaarheden (zwakke plekken) zijn. Ontdek je een kwetsbaarheid in (een van) onze ICT-systemen? Meld dit dan bij ons, zodat wij tijdig maatregelen kunnen nemen. In deze Coordinated Vulnerability Disclosure (CVD) lees je hoe wij met jouw melding omgaan.

Hoe zorgen we samen voor veilige ICT-systemen van Link-it?

Wij vragen jou:

  • jouw bevindingen zo snel mogelijk te mailen naar soc@link-it.nl.
  • om voldoende informatie te geven om het probleem te kunnen reproduceren. Dat helpt Link-it om het probleem snel op te lossen. Meestal is het voldoende om het IP-adres of de URL van het getroffen systeem te vermelden samen met een beschrijving van de kwetsbaarheid. Bij complexere kwetsbaarheden kunnen we jou om meer informatie vragen.
  • kwetsbaarheden niet te misbruiken. Zorg ervoor dat je geen schade veroorzaakt met de kwetsbaarheid die je hebt ontdekt. In geen geval mogen jouw acties leiden tot een opzettelijke onderbreking van de diensten of tot de openbaarmaking van klantgegevens.
  • geen gebruik te maken van social engineering om toegang te krijgen tot een systeem en/of geen gebruik te maken van geautomatiseerde scanners om kwetsbaarheden op te sporen. En ook niet van ‘Brute Force’ of ‘Denial-of-Service’.
  • een kwetsbaarheid tot een absoluut minimum te gebruiken. Doe alleen wat nodig is om het beveiligingslek vast te stellen.
  • om geen systeemwijzigingen aan te brengen maar ook geen gegevens van het betreffend systeem te verwijderen en/of te kopiëren.
  • kwetsbaarheden niet met anderen te delen totdat we de gemelde kwetsbaarheid hebben onderzocht, erop hebben gereageerd en deze hebben aangepakt. Ook vragen wij jou alle vertrouwelijke gegevens die via kwetsbaarheden zijn verkregen zo snel mogelijk te wissen.

Wij beloven dat wij:

  • binnen 5 werkdagen op jouw melding reageren met onze beoordeling en eventuele verwachte oplostermijn.
  • de kwetsbaarheid zo snel mogelijk proberen op te lossen. Link-it streeft ernaar het door jou gemelde beveiligingsprobleem uiterlijk binnen 60 dagen op te lossen. In overleg bepalen we, na oplossen van het probleem, of en op welke wijze erover wordt gepubliceerd.
  • geen juridische stappen tegen jou ondernemen betreffende de melding, als je aan de bovenstaande verzoeken houdt.
  • jouw ingediende melding vertrouwelijk behandelen en delen (jouw) persoonsgegevens niet met derden (zonder jouw toestemming), tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is. Dat geldt ook voor het vermelden van jouw naar als de ontdekker van de gemelde kwetsbaarheid.
  • jou een beloning bieden als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot een extra zakcentje.

Waar is dit meldpunt NIET voor bedoeld?

  • Het indienen van klachten over de dienstverlening of producten van Link-it;
  • Fraudemeldingen of vermoedens van fraude;
  • Het melden van nepmails of phishing e-mails;
  • Het melden van virussen.