Kwetsbaarheid melden

Kwetsbaarheid melden (responsible disclosure)

Wij hechten veel waarde aan de betrouwbaarheid van onze informatiesystemen en de bescherming van (persoons)gegevens. In onze privacyverklaring leest u hier meer over.

Ondanks alle voorzorgsmaatregelen kan het voorkomen dat er toch een kwetsbaarheid in onze systemen wordt ontdekt. Als u zo’n kwetsbaarheid ontdekt willen we dat graag weten, zodat we maatregelen kunnen nemen om deze zo snel mogelijk te verhelpen.

Richtlijnen voor melders
Wanneer u een (vermoedelijke) kwetsbaarheid ontdekt, vragen wij u om de volgende richtlijnen te volgen:

  • Meld uw bevinding(en) zo spoedig mogelijk via security@cazaswonen.nl;
  • Maak geen oneigenlijk gebruik van de kwetsbaarheid (zoals het extra downloaden van gegevens, het wijzigen of verwijderen van gegevens van derden, uitvoeren van DDoS-aanvallen, fysieke beveiligingsaanvallen of social engineering);
  • Deel de kwetsbaarheid niet met anderen totdat wij hebben aangegeven dat de kwetsbaarheid is opgelost en gedeeld mag worden;
  • Verwijder of vernietig direct alle gegevens of toegang die u via de kwetsbaarheid heeft verkregen, zodra de meldingsprocedure is gestart. Graag ontvangen we hiervan een bevestiging;
  • Geef voldoende informatie zodat wij de kwetsbaarheid kunnen reproduceren: bijvoorbeeld het systeemadres (de URL of een IP-adres), de omstandigheden waaronder het probleem zich voordoet, stap-voor-stap beschrijving van het effect en eventuele bewijsstukken (logbestanden, screenshots);
  • Beperk uw onderzoek tot het direct aantonen van de kwetsbaarheid. Ga niet verder dan nodig is voor de melding;
  • Voer geen aanvallen uit op de fysieke beveiliging, m.b.v. social engineering, met gedistribueerde denial of service, met spam of applicaties van derden.

Wat u van ons kunt verwachten
Wanneer u ons een melding doet volgens de hierboven genoemde richtlijnen, beloven wij het volgende:

  • Wij nemen uiterlijk binnen vijf werkdagen contact met u op met een eerste beoordeling van uw melding en een indicatie van wanneer wij denken de kwetsbaarheid op te lossen;
  • Voor zover u zich aan de richtlijnen heeft gehouden, zullen wij geen juridische stappen ondernemen tegen u in verband met uw melding. Cazas Wonen behoudt zich het recht voor om juridische stappen te ondernemen als na constatering kwetsbaarheid verder wordt gegaan dan nodig, en, als niet aan de richtlijnen wordt gehouden;
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen;
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem;
  • Wij kunnen u een beloning geven voor uw onderzoek. We zijn daartoe echter niet verplicht. U heeft dus niet zonder meer recht op een vergoeding. De vorm van deze beloning staat niet van tevoren vast en zal door ons per geval worden bepaald. Of we een beloning geven en vorm van de beloning hangt af van de zorgvuldigheid van uw onderzoek, de kwaliteit van de melding en ernst van het beveiligingslek.

Tenslotte
Door samen te werken geven we onszelf de beste kans om de beveiliging van zowel onze systemen als de gegevens van onze huurders, bewoners, medewerkers en partners te waarborgen. Wij vragen u om respectvol en verantwoord te handelen bij het melden van kwetsbaarheden.