Responsible Disclosure

Een kwetsbaarheid ontdekt in onze internetdiensten?

Laat het ons weten! Veiligheid van onze klantgegevens is voor ons heel belangrijk. Wij werken voortdurend aan het veilig houden van onze internetdiensten. Soms is dit niet voldoende, en gaat er toch iets mis dan is het fijn als u ons dit laat weten. We kunnen dan maatregelen treffen voor het verbeteren van de veiligheid van onze gegevens en systemen. 

Wat kunt u melden?

U kunt kwetsbaarheden in onze internetdiensten melden. Voorbeelden zijn:

• Cross-Site Scripting (XSS) kwetsbaarheden. 
• SQL injectie kwetsbaarheden. 
• Zwakheden in inrichting van de beveiligde verbinding

Wilt u het gevonden probleem zo duidelijk en compleet mogelijk toelichten?

Wat kunt u niet melden?

Deze Responsible Disclosure regeling is niet bedoeld voor het melden van klachten. Ook is de regeling niet bedoeld voor: 

• Het melden dat de website niet beschikbaar is
• Het melden van fraude
• Het melden van nep e-mails (phishing e-mails)
• Het melden van virussen

Hoe kunt u melden?

Een ontdekte kwetsbaarheid in onze internetdiensten kunt u met onderstaand formulier melden. Met dit formulier kunt u ook anoniem melding doen.

Meldformulier

• Naam (niet verplicht)
• E-mail adres (niet verplicht)**
• Telefoon (niet verplich)**
• Melding (verplicht veld)*
• Bestand bijvoegen (uploaden)

* verplicht veld

** deze velden zijn niet verplicht maar zonder deze gegevens kunnen we geen contact opnemen.

Spelregels

Wij vragen u het probleem alleen met de experts van Open Line te delen en het probleem niet openbaar te maken. Zo houden we de gegevens van onze klanten veilig. Fijn als u ons de tijd geeft het probleem op te lossen.
Bij uw onderzoek van de gevonden kwetsbaarheid mag u de programma’s niet beschadigen. U mag geen gegevens delen met anderen dan Open Line. Verder mag de dienstverlening nooit onderbroken worden door uw onderzoek. Misschien doet u bij uw onderzoek iets wat volgens de wet niet mag. Als u daarbij te goeder trouw, zorgvuldig en volgens onderstaande spelregels handelt, doen wij geen aangifte. 
Wij vragen u:

• Geen social engineering te gebruiken om toegang te krijgen tot onze systemen.
• Geen backdoor in een informatiesysteem te plaatsen om de zwakke plek te laten zien.
• Alleen te doen wat strikt noodzakelijk is om de kwetsbaarheid aan te tonen.
• Geen gegevens te kopiëren, te wijzigen of te verwijderen. Stuur ons alleen (minimale) gegevens die u nodig heeft om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot.
• Pogingen om toegang tot het systeem te krijgen te beperken, en gegevens over verkregen toegang niet te delen met anderen.
• Geen zogenaamde ‘bruteforce attacks’ te gebruiken om in onze systemen te komen

Wat doen wij met uw melding?

Na ontvangst van het webformulier krijgt u van ons een automatische ontvangstbevestiging. U hoort binnen 2 werkdagen wat wij met uw melding doen.

• Is het een serieus beveiligingsprobleem? Dan krijgt u van ons als dank voor de melding een passende vergoeding. 
• Wij gebruiken uw contactgegevens alleen om met u over de melding te communiceren. Wij delen deze niet met anderen. Behalve als we dit wettelijk moeten. Bijvoorbeeld als justitie ons dit vraagt. Of als wij uw actie zien als een strafbaar feit (u dus niet te goeder trouw handelt) en wij aangifte doen bij de politie.
• Als u anoniem hebt gemeld, kunnen wij u niet op de hoogte houden. Ook kunnen wij u dan geen beloning geven.

Nationaal Cyber Security Centrum

Deze responsible disclosure regeling is gebaseerd op de Leidraad Responsible Disclosure van het NCSC. Zie ook de website van het NCSC: www.ncsc.nl.