Skip navigation MENU

Responsible Disclosure

English version can be found here.

Iddink Group vindt de veiligheid van haar systemen erg belangrijk. Ondanks onze zorg voor de beveiliging hiervan kan het voorkomen dat er toch een zwakke plek is.

Als u een zwakke plek in een van onze systemen heeft gevonden horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Dit programma is NIET bedoeld voor het indienen van klachten over de dienstverlening van Iddink Group of de beschikbaarheid van onze websites. Gebruik daarvoor de gebruikelijke support kanalen.

De spelregels:

  • Misbruik het probleem niet door meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Deel het probleem niet met derden.
  • Verwijder eventueel via een lek verkregen vertrouwelijke gegevens direct na het dichten van het lek.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, bruteforce-technieken, social engineering, distributed denial of service, spam of applicaties van derden.
  • Voorzie ons van voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen.
  • Zorg ervoor dat u tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.
  • Uw onderzoek mag niet leiden tot onderbreking van onze online dienstverlening of het openbaar maken van vertrouwelijke gegevens.
  • Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor in een systeem, wordt dat systeem nog onveiliger.
  • Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als 1 record voldoende is voor uw onderzoek, ga dan niet verder.
  • Breng geen systeemveranderingen aan.
  • Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.
  • Mail uw bevindingen naar responsibledisclosure@iddinkgroup.com.

Wat wij beloven:

  • Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • In berichtgeving over het gemelde probleem zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker.
  • In het geval dat uw gemelde kwetsbaarheden zijn opgelost of hebben geleid tot een verandering in onze diensten, komt u in aanmerking voor een beloning.
    • Onze publieke websites waarvoor geen login vereist is komen in beginsel niet in aanmerking voor een beloning. Dit programma richt zich vooral op onze klantsystemen.
    • Een beloning zal alleen worden toegekend aan de eerste melder van de kwetsbaarheid.
    • Meerdere meldingen voor eenzelfde soort kwetsbaarheid met minimale verschillen zullen als één verslag worden behandeld (slechts één melding wordt beloond).
    • In het geval dat u in aanmerking komt voor een beloning, zullen wij uw persoonlijke gegevens nodig hebben om de betaling uit te kunnen voeren.
    • De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding. Voor serieuze meldingen, waarbij bijvoorbeeld direct persoonsgegevens worden geraakt, geldt een vergoeding van een waardebon van zeker €500. Overige meldingen zullen pro rato worden beloond.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

(Bron: responsibledisclosure.nl)