Wij beschouwen de veiligheid van onze systemen als een topprioriteit, maar hoeveel moeite we ook steken in systeembeveiliging, er kunnen nog steeds kwetsbaarheden aanwezig zijn.
Als u een kwetsbaarheid ontdekt, willen we dat graag weten, zodat we maatregelen kunnen nemen om deze zo snel mogelijk te verhelpen. We willen u vragen om ons te helpen onze klanten en onze systemen beter te beschermen.
Doe a.u.b. het volgende:
- E-mail uw bevindingen naar support@servates.nl. Verstuur geen bestanden en/of gegevens van uw deelnemer(s) mee.
- Indien nodig kunnen wij meer informatie opvragen, dit zal in het geval van gegevens van deelnemers altijd door middel van een SecureDrop (veilige upload binnen de Servates omgeving) verlopen.
- Maak geen gebruik van de kwetsbaarheid of het probleem dat u heeft ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of aan te passen;
- Vertel het probleem niet aan anderen voordat het is opgelost;
- Voer geen aanvallen uit op de fysieke beveiliging, m.b.v. social engineering, met gedistribueerde denial of service, met spam of applicaties van derden; en
- Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar bij complexe kwetsbaarheden is wellicht meer uitleg nodig.
Wat we beloven:
- We zullen binnen 3 werkdagen op uw melding reageren met onze evaluatie van de melding en een verwachte datum voor een oplossing;
- Als u de bovenstaande instructies heeft opgevolgd, zullen we geen juridische stappen tegen u ondernemen met betrekking tot de melding;
- Wij behandelen uw melding strikt vertrouwelijk en geven uw persoonlijke gegevens niet zonder uw toestemming door aan derden;
- We houden u op de hoogte van de voortgang bij het oplossen van het probleem;
- In de openbare informatie over het gemelde probleem vermelden we uw naam als de ontdekker van het probleem (tenzij u anders wenst); en
- Als blijk van dank voor uw hulp bieden wij een beloning aan voor elke melding van een beveiligingsprobleem waarvan wij nog niet op de hoogte waren. De hoogte van de beloning wordt bepaald op basis van de ernst van het lek en de kwaliteit van de melding. De minimale beloning is een cadeaubon van € 50.
We streven ernaar om alle problemen zo snel mogelijk op te lossen en we willen graag een actieve rol spelen in de uiteindelijke publicatie over het probleem nadat het is opgelost.
Responsible Disclosure policy
We consider the security of our systems a top priority, but no matter how much effort we put into system security, vulnerabilities can still be present.
If you discover a vulnerability, we would like to know so that we can take measures to fix it as quickly as possible. We want to ask you to help us better protect our customers and our systems.
Please do the following:
- E-mail your findings to support@servates.nl. Do not send any files and/or data of your participant(s).
- If necessary, we can request more information. In the case of participant data, this will always be done by means of a SecureDrop (secure upload within the Servetes environment).
- Do not exploit the vulnerability or problem you have discovered, for example by downloading more data than is necessary to demonstrate the vulnerability or by deleting or modifying data belonging to others;
- Don’t tell others about the problem until it’s resolved;
- Do not attack physical security, e.g. social engineering, with distributed denial of service, with spam or third-party applications; and
- Please provide enough information to reproduce the problem so that we can resolve it as quickly as possible. Usually, the IP address or URL of the affected system and a description of the vulnerability are sufficient, but complex vulnerabilities may require further explanation.
What we promise:
- We will respond to your report within 3 business days with our evaluation of the report and an expected resolution date;
- If you have followed the instructions above, we will not take any legal action against you in relation to the report;
- We treat your report as strictly confidential and do not pass on your personal data to third parties without your consent;
- We will keep you updated on the progress of resolving the issue;
- In the public information about the reported issue, we list your name as the discoverer of the issue (unless you request otherwise); and
- As a token of thanks for your help, we offer a reward for every report of a security issue that we were not aware of. The amount of the reward is determined on the basis of the seriousness of the leak and the quality of the report. The minimum reward is a €50 gift card.
We strive to resolve all issues as quickly as possible and would like to play an active role in the eventual publication of the issue after it is resolved.