Credendo Responsible Disclosure Policy
Bij Credendo beschouwen we de beveiliging van onze systemen als een topprioriteit. Kwetsbaarheden kunnen echter nooit volledig worden uitgesloten, ondanks alle moeite die we doen om het systeem te beveiligen.
Als u een kwetsbaarheid ontdekt, willen we dat graag weten zodat we stappen kunnen ondernemen om deze zo snel mogelijk te verhelpen. We willen u vragen om ons te helpen onze klanten en systemen beter te beschermen en om kwetsbaarheden niet openbaar te maken voordat we herstelmaatregelen kunnen nemen.
Deze Responsible Disclosure Policy is van toepassing op alle Credendo-systemen. Neem bij twijfel contact met ons op via vulnerability@credendo.com.
Om misverstanden te vermijden: elk misbruik of elke openbaarmaking van vertrouwelijke of technische informatie over onze systemen – waaronder de uitbuiting van kwetsbaarheden – is onwettig en strikt verboden, en kan ertoe leiden dat Credendo gerechtelijke stappen onderneemt. Uw medewerking kan een dergelijke actie natuurlijk voorkomen en wordt zeer op prijs gesteld.
Als u een kwetsbaarheid hebt gevonden, volg dan deze stappen:
- Meld de kwetsbaarheid door een e-mail met uw bevindingen naar vulnerability@credendo.com te sturen. Versleutel uw bevindingen met onze PGP-sleutel om te voorkomen dat deze kritieke informatie in verkeerde handen valt.
- Maak geen misbruik van de kwetsbaarheid of het probleem dat u hebt ontdekt, bv. door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of te wijzigen.
- Maak het probleem pas bekend aan anderen als het is opgelost.
- Gebruik geen aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of toepassingen van derden.
- Geef voldoende informatie om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar voor complexe kwetsbaarheden kan meer uitleg nodig zijn.
Onze belofte:
- We reageren binnen 15 werkdagen op uw melding met onze evaluatie ervan en een datum tegen wanneer we verwachten dat het probleem is opgelost.
- Als u de bovenstaande instructies hebt gevolgd en verder geen illegaal, schadelijk of onethisch gedrag hebt gesteld, zullen we geen juridische stappen tegen u ondernemen met betrekking tot uw melding.
- We behandelen uw melding strikt vertrouwelijk en geven uw persoonlijke gegevens niet zonder uw toestemming aan derden door.
- We houden u op de hoogte over de voortgang bij het oplossen van het probleem.
- In de openbare informatie over het gemelde probleem vermelden we uw naam als ontdekker van het probleem (tenzij u dit niet wil).
- Als blijk van onze dankbaarheid voor uw hulp, geven we een beloning voor iedere melding van een beveiligingsprobleem dat nog niet bij ons gekend was. Volgens het beleid van Credendo kunnen we echter geen enkele vorm van geldelijke beloning bieden. De precieze beloning wordt bepaald door Credendo op basis van de ernst van het lek en de kwaliteit van de melding.
We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.