Responsible disclosure beleid

Bij Kiwa hechten we veel waarde aan de veiligheid van onze ICT-systemen en websites. We streven dan ook naar een zo hoog mogelijk niveau van beveiliging. Desondanks kan het voorkomen dat er een zwakke plek is. We vragen u een kwetsbaarheid niet te misbruiken, maar aan ons te melden zodat wij de benodigde maatregelen kunnen treffen.

Treft u een kwetsbaarheid aan in deze website of in een van onze andere (online) systemen? Laat ons dit zo snel mogelijk weten. Doe dat vóór u het ‘lek’ aan de buitenwereld kenbaar maakt. Op die manier kunnen wij hier zo snel mogelijk wat aan doen.

Wij werken graag samen om onze systemen beter te beschermen en een kwetsbaarheid zo spoedig mogelijk te verhelpen. Ons responsible disclosure-beleid is echter geen uitnodiging om onze systemen actief te scannen op zwakke plekken.

Wij horen graag van u als u een kwetsbaarheid heeft gevonden. Houd hierbij rekening met de volgende zaken:

• Meld de kwetsbaarheid zo snel mogelijk na ontdekking per e-mail via responsibledisclosure@kiwa.nl.
• Geef ons voldoende informatie om het probleem te reproduceren. We kunnen het probleem dan zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkelder kwetsbaarheden kan meer informatie nodig zijn; wij vragen u in dat geval of u meer informatie aan ons kunt leveren.
• Vermeld uw contactgegevens (e-mailadres of telefoonnummer) zodat we contact met u kunnen opnemen.
• Deel de informatie over het beveiligingsprobleem niet met anderen totdat wij het probleem hebben opgelost.
• Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.

Voldoet uw melding aan deze voorwaarden? Dan verbinden wij geen juridische consequenties aan de melding.

Ontdekt u een kwetsbaarheid, maak hier dan geen misbruik van door bijvoorbeeld:

• malware te plaatsen;
• gegevens in een systeem te kopiëren, wijzigen of verwijderen of een directory listing te maken;
• veranderingen aan te brengen in het systeem;
• herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
• het systeem te gebruiken als toegangspoort naar andere systemen;
• gebruik te maken van het bruteforcen van toegang tot systemen;
• gebruik te maken van denial-of-service of social engineering.

Heeft u een zwakke plek in een van onze ICT-systemen of websites gemeld? Dan behandelen wij uw melding als volgt:

• U ontvangt binnen één werkdag een ontvangstbevestiging van uw melding.
• Wij reageren binnen vijf werkdagen op uw melding. Onze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
• Wij houden u als melder op de hoogte van de voortgang van het oplossen van het probleem.
• Wij behandelen uw melding vertrouwelijk en we delen uw persoonlijke gegevens niet zonder uw toestemming met derden, tenzij we daartoe wettelijk of door een rechterlijke uitspraak verplicht zijn.

Een gemeld beveiligingsprobleem lossen wij zo snel mogelijk, maar in elk geval binnen 60 dagen op. Samen met u als melder bepalen we of en hoe we over het probleem berichten. We doen dat altijd pas nadat we het probleem hebben verholpen.

Kiwa kan het beleid ten aanzien van de responsible disclosure herzien als daartoe aanleiding bestaat. Het actuele beleid staat altijd op deze pagina.

Rijswijk, februari 2021