Responsible Disclosure Statement

Bij Facilitor, onderdeel van Aareon Nederland BV, hechten wij grote waarde aan de veiligheid en betrouwbaarheid van onze systemen, producten en diensten. Ondanks alle voorzorgsmaatregelen die wij nemen om onze systemen te beveiligen, kan het voorkomen dat er zich een kwetsbaarheid voordoet.

Het is belangrijk te benadrukken dat onbevoegde toegang tot computersystemen—ook wel hacking genoemd—in principe een strafbaar feit is op grond van artikel 138ab van het Wetboek van Strafrecht (computervredebreuk). Dit geldt ongeacht de intentie van de handeling. Alleen wanneer een onderzoeker handelt binnen de kaders van een Responsible Disclosure Policy, zoals hier beschreven, en zich aan de voorwaarden houdt, kan van vervolging worden afgezien. Het melden van kwetsbaarheden is op zichzelf geen strafbaar feit; het voorafgaand zonder toestemming verkrijgen van toegang tot systemen kan dat echter wel zijn.

Wij stellen het op prijs als u ons helpt om de beveiliging van onze systemen te verbeteren door het melden van kwetsbaarheden. Wij hanteren daarvoor een responsible disclosure-beleid. Dit betekent dat wij meldingen van beveiligingsproblemen op een professionele en veilige manier behandelen, zonder juridische stappen te ondernemen tegen melders die zich aan de regels van dit beleid houden, mits de handelingen die zijn verricht om de kwetsbaarheid te ontdekken zelf geen strafbaar feit vormen volgens de toepasselijke wetgeving.

1     Richtlijnen voor het melden van kwetsbaarheden

Wij verzoeken u om bij het melden van kwetsbaarheden de volgende richtlijnen in acht te nemen:

  • Meld de kwetsbaarheid zo spoedig mogelijk via: mailto:security@aareon.nl
  • Geef voldoende informatie zodat wij het probleem kunnen reproduceren en onderzoeken. Denk aan:
    • Een duidelijke beschrijving van het probleem
    • De getroffen URL(s), IP-adressen of systeemonderdelen
    • De impact en eventueel een proof-of-concept
    • Screenshots of logbestanden indien beschikbaar
  • Maak geen misbruik van het beveiligingsprobleem door:
    • Verzamelde gegevens in te zien, te kopiëren, te wijzigen of te verwijderen
    • Meer toegang te verkrijgen dan strikt noodzakelijk is om de kwetsbaarheid aan te tonen
    • De kwetsbaarheid aan derden te tonen of openbaar te maken voordat wij het probleem hebben opgelost
    • Aanvallen uit te voeren die de beschikbaarheid van systemen kunnen verstoren (zoals brute force-aanvallen, DDoS-aanvallen of social engineering)
  • Beperk uw onderzoek tot systemen en domeinen die onder onze verantwoordelijkheid vallen (zie de scope hieronder)
  • Meldingen mogen anoniem worden gedaan, maar contactgegevens zijn gewenst voor communicatie over de afhandeling
  • Alle verkregen gegevens moeten strikt vertrouwelijk worden behandeld en direct worden verwijderd nadat de kwetsbaarheid is opgelost of nadat Aareon verwijdering heeft geëist, afhankelijk van welke gebeurtenis zich het eerst voordoet.

1.1    Wat u van ons kunt verwachten

Als u ons een melding stuurt die voldoet aan de bovenstaande voorwaarden, kunt u van ons het volgende verwachten:

  • Wij behandelen uw melding strikt vertrouwelijk en delen uw gegevens niet met derden zonder toestemming tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • Wij reageren binnen 5 werkdagen op uw melding.
  • Wij onderzoeken uw melding zorgvuldig en streven ernaar om binnen een redelijke termijn (afhankelijk van de ernst en complexiteit) een oplossing te implementeren.
  • Wij houden u op de hoogte van de voortgang van het onderzoek en de afhandeling.
  • In rapportages over het gemelde probleem zullen wij, indien gewenst, uw naam vermelden als de ontdekker.
  • Als u zich aan de bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen voor het misbruiken van de kwetsbaarheid.

 

1.2    Scope

Onder dit beleid vallen uitsluitend systemen, applicaties en diensten die onder het beheer van Aareon Nederland vallen. Hieronder vallen onder andere, maar niet uitsluitend:

  • De volgende domeinen en sub domeinen:
      • *.mareon.nl
      • *.facilitor.nl

    Interne of externe diensten die op deze domeinen draaien, voor zover deze publiek toegankelijk zijn

Als u niet zeker weet of een systeem binnen de scope valt, dan kunt u hierover contact met ons opnemen.

1.3    Buiten scope

De volgende bevindingen vallen in principe buiten de scope van dit responsible disclosure-beleid:

  • Informatie over verouderde softwareversies zonder aantoonbaar beveiligingsrisico.
  • Het ontbreken van best practices zoals security headers, tenzij er daadwerkelijk een risico ontstaat.
  • Clickjacking op pagina’s zonder gevoelige gebruikersinteracties.
  • Open directories of bestanden zonder gevoelige inhoud.
  • Problemen die alleen optreden op verouderde browsers of systemen.

Ook meldingen die voortkomen uit geautomatiseerd scannen zonder handmatige verificatie kunnen buiten behandeling blijven.

2      Contact

U kunt kwetsbaarheden of beveiligingsproblemen melden via de volgende kanalen:

  • E-mail: security@aareon.nl
  • Security.txt: https://aareon.nl/.well-known/security.txt

Wij accepteren meldingen in het Nederlands of Engels.

3      Juridische en ethische grenzen

Om een veilige en constructieve melding van kwetsbaarheden te waarborgen, vragen wij alle onderzoekers zich aan de volgende juridische en ethische richtlijnen te houden:

  • Handel met goede bedoelingen: Test alleen systemen binnen de afgesproken scope en vermijd handelingen die gebruikers, gegevens of de beschikbaarheid van systemen kunnen schaden.
  • Respecteer privacy: Verkrijg geen toegang tot, kopieer, wijzig of verwijder geen persoonlijke of vertrouwelijke gegevens. Gegevens die per ongeluk zijn ingezien, moeten onmiddellijk worden verwijderd.
  • Voorkom verstoringen: Voer geen acties uit die de systeemprestaties of beschikbaarheid kunnen aantasten, zoals brute-force aanvallen, denial-of-service (DoS), of social engineering.
  • Voldoe aan toepasselijke wetgeving: Zorg dat uw handelingen in overeenstemming zijn met lokale wetten en regels, waaronder wetgeving op het gebied van gegevensbescherming en computercriminaliteit.
  • Geen publieke bekendmaking vóór oplossing: Deel geen details van de kwetsbaarheid met derde partijen en maak deze niet openbaar totdat wij het probleem hebben opgelost of er een gezamenlijke planning voor openbaarmaking is afgesproken.
  • Geen kwaadaardige intenties: Gebruik kwetsbaarheden niet voor persoonlijk gewin, afpersing of andere activiteiten die als kwaadwillig of onethisch kunnen worden beschouwd.

Wij zullen geen juridische stappen ondernemen tegen onderzoekers die zich aan deze regels houden en met goede bedoelingen handelen.

Door melding te doen binnen dit responsible disclosure-beleid, gaat u akkoord met de bovenstaande voorwaarden. Wij behouden ons het recht voor om dit beleid aan te passen indien nodig, bijvoorbeeld bij wijzigingen in wet- en regelgeving of onze technische omgeving. Wij danken u voor uw hulp en inzet om onze systemen veiliger te maken.

 

Benieuwd naar wat Facilitor voor jouw organisatie kan betekenen?

Vraag een gratis demo aan!

Of bel direct: 053 480 07 10