Veiligheid

De veiligheid van jouw gegevens staat voor ons voorop. We werken daarom constant aan het veilig houden van onze internetdiensten.

Meld kwetsbaarheden in onze internetdiensten

Helaas kan er soms toch iets misgaan. Of zien wij iets over het hoofd. Ontdek je een kwetsbaarheid in onze internetdiensten? Laat het ons dan weten. Dan kunnen wij het gelijk oplossen.

Wat kan je melden?

Je kan kwetsbaarheden in onze internetdiensten melden. Voorbeelden hiervan zijn:

  • Cross-Site Scripting (XSS) kwetsbaarheden
  • kwetsbaarheden voor SQL-injectie
  • zwakheden in de inrichting van de beveiligde verbinding

Heb je een kwetsbaarheid gevonden? Dan vragen we je dringend om het gevonden probleem bij ons te melden. Beschrijf het probleem zo duidelijk en compleet mogelijk.

Hoe kan je een kwetsbaarheid melden?

Meld een ontdekte kwetsbaarheid in onze internetdiensten per e-mail via security@onvz.nl.

Wat moet je weten?

Belangrijk om te weten

  • geef het probleem alleen aan de experts van ONVZ door. Maak het probleem niet openbaar en geef het niet aan derden door. Zo houden we de gegevens van onze klanten veilig
  • beschadig onze programma's niet bij je onderzoek naar de gevonden kwetsbaarheid
  • onze dienstverlening mag door je onderzoek nooit onderbroken worden
  • misschien doe je bij je onderzoek iets wat volgens de wet niet mag. Als je daarbij te goeder trouw, zorgvuldig en volgens onderstaande spelregels hebt gehandeld, doen wij geen aangifte

Dit zijn de spelregels

Doe je onderzoek naar kwetsbaarheden in onze internetdiensten? Doe dat dan volgens onderstaande spelregels:

  • gebruik geen social engineering om toegang te krijgen tot onze systemen
  • plaats geen backdoor in een informatiesysteem om de zwakke plek te laten zien
  • doe alleen wat strikt noodzakelijk is om een kwetsbaarheid aan te tonen
  • kopieer, wijzig of verwijder geen gegevens. Stuur ons alleen de (minimale) gegevens die je nodig hebt om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot
  • beperk je pogingen om toegang te krijgen tot het systeem zoveel mogelijk
  • deel gegevens over de toegang die je hebt gekregen niet met anderen
  • gebruik geen zogenaamde bruteforce attacks om in onze systemen te komen

Dit doen we met je melding

  • je hoort binnen 3 werkdagen wat wij met je melding doen
  • is het een serieus beveiligingsprobleem waarvan we nog niet op de hoogte waren? Dan krijg je van ons als dank een passende beloning
  • we gebruiken je contactgegevens alleen om met je over de melding te communiceren. We delen deze niet met anderen, behalve als we dit wettelijk verplicht zijn. Bijvoorbeeld als justitie dit van ons vraagt. Of als we je actie zien als een strafbaar feit en we aangifte doen bij de politie. Je handelt dan dus niet te goeder trouw

Als je je melding anoniem doet, kunnen we je helaas niet op de hoogte houden. Ook kunnen we je dan geen beloning geven.

Nationaal Cyber Security Centrum

De coordinated vulnerability disclosure-regeling is gebaseerd op de leidraad coordinated vulnerability disclosure van het NCSC. Zie ook de website van het NCSC.