Responsible Disclosure

Responsible disclosure

Bij VormVijf vinden wij de veiligheid van onze systemen zeer belangrijk. Ondanks onze zorg voor de veiligheid van onze systemen kan het voorkomen dat er toch onbedoelde kwetsbaarheden aanwezig zijn.  Als u een kwetsbaarheid in één van onze systemen heeft ontdekt, stellen wij het bijzonder op prijs wanneer u deze kwetsbaarheid zo spoedig mogelijk meldt, zodat wij noodzakelijke maatregelen kunnen treffen. Wij werken graag met u samen om onze systemen en daarmee onze opdrachtgevers en collega’s naar behoren te kunnen beschermen.

Voor een goede samenwerking vragen wij u:
• Uw bevindingen te mailen naar info@vormvijf.nl. Versleutel bij voorkeur uw bevindingen om te voorkomen dat de informatie in verkeerde handen valt. Versleuteling is verplicht in geval u meldingen verstuurt die betrekking hebben op persoonsgegevens.
• De gevonden kwetsbaarheid op geen enkele wijze te misbruiken.
• De kwetsbaarheid niet met derden te delen of tot externe berichtgeving over te gaan en alle vertrouwelijke gegevens die zijn verkregen via deze kwetsbaarheid zo spoedig mogelijk te vernietigen na bevestiging van de melding.
• Voldoende informatie te geven om de kwetsbaarheid zo snel mogelijk op te kunnen lossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan uiteraard meer informatie nodig zijn.

Voor een goede samenwerking beloven wij u:
• Binnen 3 werkdagen te reageren op uw melding met onze inhoudelijke reactie op de melding en een datum waarbinnen de mogelijke kwetsbaarheid wordt opgelost.
• Geen juridische stappen tegen u te ondernemen, in het geval u zich aan bovenstaande voorwaarden heeft gehouden.
• Om uw melding vertrouwelijk te behandelen en uw persoonlijke gegevens niet zonder uw toestemming met derden te delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen, wordt u in dit geval op de hoogte gebracht). Melden onder een pseudoniem of via een tussenpersoon is mogelijk.
• Om u op de hoogte te houden van de voortgang van het oplossen van de mogelijke kwetsbaarheid.
• Om in eventuele berichtgeving over de gemelde kwetsbaarheid u indien u dit wenst, te vermelden als ontdekker van de kwetsbaarheid.

VormVijf is wettelijk verplicht zich te houden aan de Algemene Verordening Gegevensbescherming en werkt uiteraard mee aan eventuele vervolgacties vanuit de wet.

Wij danken u bij voorbaat voor de samenwerking.