cvd-melden

Wanneer jij via onze Coordinated Vulnerability Disclosure kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan jouw melding, indien jij je houdt aan de volgende regels:

• Verzeker jezelf ervan dat jouw melding ‘in scope’ is. Op www.z-cert.nl/cvd-melden kun je controleren wat als niet ‘in scope’ wordt beschouwd.
• Meld jouw bevindingen bij Stichting Z-CERT. Gebruik hiervoor het mailtemplate dat je kunt vinden op www.z-cert.nl/cvd-melden. Stuur dit volledig ingevuld naar cvd@z-cert.nl, eventueel kun je gebruik maken van Z-CERT’s publieke PGP-sleutel. 
• Stichting Z-CERT handelt voor VGGM de Coordinated Vulnerability Disclosure meldingen af. Zij werken samen met jou als melder en met VGGM om te zorgen dat jouw melding wordt opgepakt.
• Geef voldoende informatie, zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden is soms meer informatie gewenst of noodzakelijk. Je kunt een proof of concept als bijlage meesturen.

• Het plaatsen van malware, noch op onze systemen en noch op die van anderen.
• Het misbruiken van de kwetsbaarheid door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
• Het uitvoeren van aanvallen op onze (fysieke) beveiliging d.m.v. social engineering, distributed denial of service, spam, brute-force aanvallen, applicaties van derden en/of andere typen aanvallen.
• Het inzien van medische gegevens. Indien jij vermoedt dat dit door een kwetsbaarheid wel mogelijk is, dan vragen wij jou dit niet zelf te verifiëren, maar dit door ons te laten doen.
• Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost. Daarnaast vragen wij jou om alle vertrouwelijke gegevens die je hebt verkregen, na het dichten van het lek, direct te wissen.
• Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.

1. VGGM en Z-CERT behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is. De melding wordt in behandeling genomen door het security team en eventueel de betrokken leverancier
2. Jij krijgt een ontvangstbevestiging van Z-CERT en binnen vijf werkdagen ontvang je een reactie op jouw melding met een beoordeling van de melding en een verwachte datum voor een oplossing
3. Als melder van het probleem houdt Z-CERT jou op de hoogte van de voortgang van het oplossen van het probleem. 
4. Aan de melder zal geen financiële beloning worden geboden. De nadruk wordt gelegd op de maatschappelijke verantwoordelijkheid. De melder mag het doen van een melding of verdere verstrekking van informatie niet afhankelijk maken van de beloning.
5. De melder wordt (indien gewenst) bij een valide melding in elk geval voor een ‘jaar’ opgenomen in de Hall of Fame. Een welgemeend dankjewel is op zijn plaats!

Wij streven ernaar om meldingen zo snel mogelijk op te lossen. Samen overleggen wij daarna over een eventuele publicatie van de opgeloste kwetsbaarheid. Dit beleid is geïnspireerd op de Leidraad Coordinated Vulnerability Disclosure van het NCSC en het voorbeeld op responsibledisclosure.nl, met dank aan Floor Terra.