Responsible disclosure

Bij Gemeente Moerdijk vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Responsible disclosure (English version)

Bij Gemeente Moerdijk vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Let op! Niet alle meldingen worden in behandeling genomen. Klik hier voor de kwetsbaarheden die binnen en buiten de scope van ons beleid vallen:

Wij vragen U:

  • Uw bevindingen aan te leveren via deze link. Vergeet niet uw contactgegevens te vermelden (e-mailadres en/of telefoonnummer) en te vermelden dat het gaat om een kwetsbaarheid bij gemeente Moerdijk.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen.
  • Alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het rapporteren van het lek te wissen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, spam, bruteforcen of applicaties van derden. Ook verzoekt de gemeente u geen gebruik te maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of de dienstverlening wordt verminderd.
  • Plaats, verzend, upload, link naar, verstuur of bewaar geen schadelijke software.
  • Test niet wat zou resulteren in het verzenden van ongevraagde of ongeoorloofde ongewenste e-mail, spam of andere vormen van ongevraagde berichten.
  • Voer geen automatische scans uit zonder eerst met ons te overleggen.
  • Test niet op een manier die de werking van de oplossingen die we gebruiken zou aantasten.
  • Maak een kwetsbaarheid niet openbaar binnen 30 dagen nadat de kwetsbaarheid door ons is opgelost en niet zonder onze voorafgaande schriftelijke toestemming. En neem geen gevoelige gegevens op in de onthulde kwetsbaarheid.
  • Voldoende informatie te verstrekken om het probleem te reproduceren, zodat wij het probleem zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid met foutmelding voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven:

  • Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als u zich aan bovenstaande afspraken voor het melden heeft gehouden, onderneemt de gemeente geen juridische stappen tegen u over de melding.
  • Uw melding wordt vertrouwelijk behandeld en uw persoonlijke gegevens worden niet zonder uw toestemming met derden gedeeld, tenzij de gemeente daar volgens de wet of rechterlijke uitspraak toe verplicht is. Melden onder een pseudoniem is mogelijk.
  • Het door u gemelde beveiligingsprobleem wordt zo snel mogelijk opgelost. Hierin is de gemeente vaak wel medeafhankelijk van externe partijen. De gemeente houdt u op de hoogte van de voortgang.
  • Of en op welke wijze over het probleem wordt gepubliceerd nadat het is opgelost, wordt in onderling overleg en in samenspraak met de Informatiebeveiligingsdienst Gemeenten bepaald. De gemeente vermeldt indien u dit wenst uw naam als ontdekker van de gevonden kwetsbaarheid in de ‘Hall of Fame’ op de eigen website.
  • De gemeente kan u een beloning bieden als dank voor uw hulp. Of u een beloning krijgt en de grootte van de beloning is afhankelijk van de ernst de kwetsbaarheid en de kwaliteit van de melding. De gemeente maakt hier daarom per melding een afweging in.

Juridische aspecten

Door een melding in te dienen bij gemeente Moerdijk erkent u dat u bovenstaande voorwaarden heeft gelezen en hiermee akkoord gaat. U garandeert ook dat u de vinder van de inzending bent en u verleent ons hierbij toestemming om uw inzending te gebruiken, reproduceren, kopiëren, wijzigen en anderszins te verwijderen op een manier die wij nodig achten.

U gaat ermee akkoord, dat u deze openbaarmaking niet zult gebruiken voor:

  • marketing- of financierings-doeleinde
  • als referentie in enige persoonlijke of professionele presentatie
  • in documentatie of ander materiaal;

Daarnaast zult U niet het logo of de naam van gemeente Moerdijk op welke manier dan ook gebruiken in enige vorm van communicatie met betrekking tot deze kwetsbaarheid melding onder Responsible Disclosure.

Dit beleid is mede geïnspireerd op en deels overgenomen van het voorbeeld op responsibledisclosure.nl.

Lees verder