Responsible disclosure

Responsible disclosure

Ziet u een zwakke plek in onze IT-systemen? Neem dan altijd zo snel mogelijk met ons contact op. Wacht niet.

Responsible disclosure
Reconi vindt het belangrijk om veilige online diensten te leveren. Ondanks alle zorg en inzet kunnen er zich situaties voordoen waarin sprake is van een zwakke plek. Bent u deskundig en ontdekt u een kwetsbaarheid in onze systemen? Help ons dan door deze kwetsbaarheid bij ons te melden. Zo kunnen we samen de veiligheid en betrouwbaarheid van onze systemen verbeteren.

Wat kunt u melden?
U kunt problemen melden die betrekking hebben op de veiligheid van diensten die Reconi aanbiedt via internet. Mocht u een kwetsbaarheid of zwakke plek gevonden hebben, meld dit ons dan zo snel mogelijk.

Hoe kunt u een melding doen?
U kunt uw melding per e-mail doorgeven via responsible.disclosure@reconi.nl. Maak in uw e-mail kort en bondig duidelijk welke kwetsbaarheid u heeft gevonden, met name:

  • Welke stappen u heeft doorlopen
  • Wat de volledige URL is
  • Welke IP-adressen
  • Wat de eventueel betrokken objecten zijn (bijvoorbeeld welke invoervelden of filters)
  • Schermprinten zijn welkom

Kan ik een zwakke plek ook anoniem melden?
Ja, u hoeft uw naam en contactgegevens niet door te geven als u een melding doet. Bedenk wel dat wij dan niet met u kunnen overleggen over de vervolgstappen.

Wat doen we met uw melding?
Onze specialisten lezen uw melding en gaan hiermee aan de slag. Binnen 2 werkdagen wordt er contact met u opgenomen met een eerste reactie en om afspraken te maken over de vervolgstappen. Maak het probleem niet publiek, maar praat met onze specialisten en geef hen de tijd het probleem op te lossen.

Uw privacy
We gebruiken uw persoonsgegevens alleen om actie te ondernemen op uw melding. We geven uw persoonsgegevens niet zonder uw toestemming aan anderen, tenzij wij op grond van de wet uw gegevens moeten afstaan. Of als we een ander bedrijf inschakelen om uw melding verder te onderzoeken. In dat geval zullen we er altijd voor zorgen dat ook zij op hun beurt op dezelfde manier als wij uw gegevens geheim houden. Wij blijven ook dan verantwoordelijk voor uw gegevens.

De spelregels
Bij het onderzoek zou u mogelijk handelingen kunnen verrichten die strafbaar zijn. Als u te goeder trouw, zorgvuldig en volgens de aangegeven spelregels handelt, is er voor Reconi geen aanleiding om aangifte te doen. Volgt u daarom de regels zoals opgenomen in deze responsible disclosure regeling:

  • Zorg ervoor dat u tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.
  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.
  • In geen geval mag uw onderzoek leiden tot onderbreking van onze dienstverlening.
  • In geen geval mag uw onderzoek leiden tot openbaarmaking van organisatie- of klantgegevens.
  • Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen.
  • Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als 1 record voldoende is voor uw onderzoek, ga dan niet verder.
  • Breng geen systeemveranderingen aan.
  • Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.
  • Gebruik geen bruteforce-technieken (herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.
  • Gebruik geen technieken die de beschikbaarheid van onze diensten kunnen beïnvloeden.

Overige voorwaarden
Wij kunnen alleen meldingen aannemen die in het Nederlands of Engels opgesteld zijn.

Afwijkende internationale regelgeving
Wij adviseren u rekening te houden met specifieke wetgeving per land. Woont u in het buitenland en vindt u een kwetsbaarheid? Realiseert u zich dan dat ons Responsible Disclosure beleid niet in elk land geldt. Zo kunt u alsnog met justitie in aanraking komen, ook al rapporteren wij de kwetsbaarheid niet aan justitie.