Coordinated Vulnerability Disclosure

Security Monitoring Centre B.V.
Datum laatste versie: 29 april 2024

Bij Security Monitoring Centre B.V. (SMC) streven we ernaar onze klanten betrouwbare en veilige oplossingen te bieden. We nemen beveiliging zeer serieus en de bescherming van onze systemen heeft onze hoogste prioriteit.

Dit betekent niet dat onze systemen altijd vrij zijn van kwetsbaarheden. Daarom werken we graag samen met personen die deze kwetsbaarheden kunnen opsporen en hebben we dit Coordinated Vulnerability Disclosure (CVD) beleid opgesteld.

Als u een beveiligingslek of kwetsbaarheid in onze producten of diensten hebt ontdekt, stellen wij uw hulp op prijs om dit op een verantwoorde manier aan ons te melden. Dit helpt ons om onze klanten en systemen beter te beschermen.

Heeft u een kwetsbaarheid ontdekt?

Breng ons dan eerst op de hoogte voordat u de buitenwereld informeert, zodat wij zelf eerst actie kunnen ondernemen.
E-mail uw bevindingen naar [email protected]. Versleutel uw bevindingen om deze kritieke informatie adequaat te beveiligen en houd u aan onderstaande gedragsregels.

Gedragsregels

Wat te doen:

  • Meld de kwetsbaarheid zo snel mogelijk nadat u deze hebt ontdekt.
  • Geef voldoende details zodat we de kwetsbaarheid zo snel mogelijk kunnen verhelpen. Het IP-adres van de computer of de URL van het IT-systeem en een beschrijving van de kwetsbaarheid is meestal voldoende. Complexe kwetsbaarheden vereisen mogelijk meer uitleg.
  • Laat uw contactgegevens achter (een e-mailadres en/of telefoonnummer) zodat we later contact met u kunnen opnemen.
  • Vermeld bij het indienen van een melding geen persoonsgegevens die u uit ons systeem hebt verkregen.
  • Ga verantwoordelijk om met de informatie die u in uw bezit hebt. Maak geen misbruik van de kwetsbaarheid of het probleem dat u hebt ontdekt, bijvoorbeeld door meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen of door gegevens van anderen te verwijderen of te wijzigen.
  • Deel geen informatie over de kwetsbaarheid met anderen totdat de kwetsbaarheid is verholpen.

Wat niet te doen:

  • Kopieer, wijzig of verwijder geen gegevens in ons systeem. Als voor uw onderzoek een kopie van de gegevens uit het systeem nodig is, kopieer dan niet meer dan voor uw onderzoek nodig is;
  • Wijzig of beschadig het systeem niet;
  • Gebruik geen malware;
  • Probeer het systeem niet verder binnen te dringen dan nodig is;
  • Deel verkregen toegang niet met anderen;
  • Gebruik geen social engineering om toegang te verkrijgen tot ons systeem;
  • Gebruik geen ‘brute kracht’ (bijvoorbeeld het herhaaldelijk invoeren van wachtwoorden) om toegang tot het systeem te verkrijgen;
  • Plaats geen achterdeurtjes in ons systeem;
  • Maak geen persoonsgegevens of klantgegevens openbaar en publiceer deze gegevens niet; en
  • Verstoor onze (online) diensten niet.

Wat kunt u verwachten van SMC:

  • We sturen u onmiddellijk een bevestiging van ontvangst van uw melding van de kwetsbaarheid (uiterlijk binnen 3 werkdagen na indiening).
  • We laten u weten hoe we met de melding omgaan, of we er al dan niet iets aan zullen doen en wanneer. We streven ernaar om kwetsbaarheden zo snel mogelijk op te lossen.
  • We werken nauw met u samen om de aard van de kwestie te begrijpen en werken samen aan tijdschema’s om de kwestie op te lossen en openbaar te maken.
  • We houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • We brengen u op de hoogte wanneer de kwetsbaarheid is verholpen, zodat deze opnieuw kan worden getest en bevestigd.
  • Als u de bovenstaande instructies hebt opgevolgd, zullen we geen juridische stappen tegen u ondernemen met betrekking tot de melding.
  • We behandelen uw rapport strikt vertrouwelijk en geven uw persoonsgegevens niet door aan derden zonder uw toestemming.
  • In de openbare informatie over het gemelde probleem vermelden we uw naam als de ontdekker van het probleem (tenzij u anders wenst).


Beloningen

We stellen uw inspanningen om ons te helpen onze systemen en processen te optimaliseren zeer op prijs. Daarom komt u in de meeste gevallen in aanmerking voor een passende geldelijke beloning. De hoogte van de beloning wordt bepaald op basis van de ernst van de kwetsbaarheid en de kwaliteit van uw meldingsrapport. De minimale beloning is een cadeaubon van EUR 50.

We zullen niet belonen wanneer:

  • Het probleem al was gemeld. In dat geval wordt alleen de eerste melder beloond;
  • U in een land woont dat op een sanctielijst staat;
  • De kwestie al algemeen bekend is; of
  • De regels in dit CVD beleid niet worden nageleefd.

SMC wil graag elke individuele melder bedanken die een rapport over een kwetsbaarheid indient om ons te helpen onze algemene beveiliging bij SMC te verbeteren.

Heeft u vragen over dit CVD beleid, neem dan contact met ons op via [email protected]
en/of telefoonnummer 02/787.71.25.

***