responsjpg

Responsible Disclosure

Wat is Responsible Disclosure

Beveiliging van de IT-omgeving en (digitale) gegevens is essentieel voor ABF Research. ABF besteedt hier veel aandacht aan in alle toepassingen en websites die ABF maakt. Toch kan het voorkomen dat er een zwakke plek wordt geconstateerd. Een zwakke plek in een ICT-systeem van ABF, zoals www.abfresearch.nl, kunt u melden via het e-mail adres responsibledisclosure@abf.nl. Meld de kwetsbaarheid voordat u dit aan de buitenwereld kenbaar maakt. Zo kan ABF eerst maatregelen treffen. Dit heet Responsible Disclosure.

Richtlijnen Responsible Disclosure

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, neem dan de volgende richtlijnen in acht:
Geef voldoende informatie om het probleem te reproduceren. Zo kan ABF het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat ABF met u contact kan opnemen.
Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Maak geen misbruik van een zwakke plek in een ICT-systeem
Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

    • Malware te plaatsen.
    • Gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem).
    • Veranderingen aan te brengen in het systeem.
    • Herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen.
    • Gebruik te maken van het zogeheten bruteforcen van toegang tot systemen.
    • Gebruik te maken van denial-of-service of social engineering.

Indien er (toch) sprake is van misbruik, dan zal ABF juridische stappen ondernemen.

Wat doet ABF bij Responsible Disclosure

Hebt u een melding gedaan van een zwakke plek in een ICT-systeem? ABF behandelt deze melding als volgt:

  • U krijgt binnen 1 werkdag een ontvangstbevestiging van ABF.
  • ABF reageert binnen 3 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
  • ABF houdt u als melder op de hoogte van de voortgang van het oplossen van het probleem.
  • ABF lost het beveiligingsprobleem zo snel mogelijk op, maar uiterlijk binnen 60 dagen.
  • ABF zal samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.
  • ABF biedt een beloning als dank voor de hulp.
  • ABF behandelt uw melding vertrouwelijk. ABF deelt persoonlijke gegevens niet zonder toestemming van u met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. ABF kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.