Responsible disclosure

For English see below.

Kwetsbaarheden in de ICT-systemen van PFZW

PFZW vindt de beveiliging van zijn systemen belangrijk. Ondanks alle aandacht voor de beveiliging van de systemen kan het voorkomen dat er een zwakke plek over het hoofd wordt gezien. Als u een zwakke plek in een systeem van ons heeft gevonden, horen wij dit graag van u. Zodat wij zo snel mogelijk de benodigde maatregelen kunnen treffen. Met het oog hierop voert PFZW onderstaand beleid over het omgaan met meldingen van geconstateerde kwetsbaarheden in de ICT-systemen van PFZW. Hieraan mag u ons houden wanneer u een zwakke plek aantreft in een van de systemen en dit meldt. Wij willen graag met u samenwerken om de gegevens in onze systemen beter te kunnen beschermen.

PFZW verwacht het onderstaande van u

  • Meld uw ontdekking van de kwetsbaarheid zo snel mogelijk via het volgende formulier: Vulnerability Disclosure melding voor PFZW.
  • De melding moet informatie bevatten op basis waarvan wij het probleem kunnen reproduceren. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer informatie nodig zijn.
  • Laat minimaal een e-mailadres of telefoonnummer achter om zo samen te kunnen werken aan een veilig resultaat.
  • Deel de informatie over de kwetsbaarheid niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Doe in ieder geval niet

  • Het verspreiden van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in het systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Het gebruik maken van het zogeheten ‘brute-forcen’ van toegang tot systemen.
  • Het gebruik maken van (distributed) denial-of-service of social engineering.

Dit kunt u verwachten van PFZW

  • Voldoet u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van PFZW aan bovenstaande voorwaarden? Dan onderneemt PFZW geen juridische stappen tegen u.
  • PFZW behandelt een melding vertrouwelijk en deelt persoonlijke gegevens niet met derden zonder uw toestemming. Behalve als dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • PFZW stuurt u binnen 1 werkdag een ontvangstbevestiging.
  • PFZW reageert binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing (als dat dan al bekend).
  • PFZW houdt u op de hoogte van de voortgang van het oplossen van het probleem.

English

Vulnerabilities in PFZW’S ICT Systems

PFZW attaches a great deal of importance to the security of its systems. In spite of the attention devoted to system security, it is possible that a weak spot may have been overlooked. Should you find a weak spot in one of PFZW's systems, we would like to hear from you, so that the necessary measures can be taken as quickly as possible. For this reason, PFZW implements the following policy concerning the handling of reports of observed vulnerabilities in its ICT systems. You can hold PFZW accountable for this policy when you come across a weak spot in any of the systems and you report this. We would like to work together with you to be able to better protect the data in our systems.

PFZW expects you to do the following

  • Send the report as quickly as possible after the discovery of a vulnerability to: Vulnerability Disclosure report for PFZW.
  • The report must include the information required by PFZW to reproduce the problem. Generally, the IP address or the URL of the affected system and a description of the vulnerability is sufficient. However, additional information may be required in the event of more complex vulnerabilities.
  • At a minimum, please provide an e-mail address or a telephone number, so that we can work together with you to produce a secure result.
  • Do not share any information about the vulnerability with others until after it has been resolved.
  • Deal responsibly with the knowledge about the security problem by avoiding any actions that go beyond those required to demonstrate the security problem.

In any event do NOT

  • Spread malware.
  • Copy, change or remove data from the system (an alternative to this is to create a directory listing of the system).
  • Make any changes to the system.
  • Repeatedly gain access to the system or share access to the system with others.
  • Make use of so-called brute force attacks to access the system.
  • Make use of (distributed) denial-of-service or social engineering attacks.

What to expect from PFZW

  • If you meet the above conditions when you report an observed vulnerability in a PFZW ICT system, PFZW will not take any legal action against you.
  • PFZW treats a report as confidential and will not share personal information with third parties without your permission, unless required to by law or pursuant to a court ruling.
  • PFZW will send you a confirmation of receipt within 1 working day.
  • PFZW will respond to a reported vulnerability within 3 working days with an evaluation of the reported vulnerability and the expected resolution date (if known at that point).
  • PFZW will keep you informed of the problem solving progress.