Coordinated Vulnerability Disclosure
We nemen de security van onze systemen serieus
In de huidige digitale wereld komen beveiligingsincidenten helaas voor. Salland Zorgverzekeraar neemt de veiligheid van haar systemen zeer serieus, om het vertrouwen in de dienstverlening alsook de verwerking van persoons- en vertrouwelijke gegevens te waarborgen.
Als u een kwetsbaarheid in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze verzekerden, onze klanten en onze systemen beter te kunnen beschermen.
Een kwetsbaarheid is een zwakke plek in software, hardware of beveiligingsprocedures die potentieel kan leiden tot ongeautoriseerde toegang, misbruik, verlies of verminking van informatie.
Wat wij van u vragen:
- Mail uw bevindingen zo snel mogelijk naar security@salland.nl.
- Deel de melding op een vertrouwelijke manier met ons om te voorkomen dat anderen ook toegang krijgen tot deze informatie.
- Maak geen misbruik van de kwetsbaarheid door bijvoorbeeld gegevens te veranderen, verwijderen, te kopiëren of de gehele service onbeschikbaar te maken. Wat wel kan is een directory listing van een systeem te maken.
- Maak geen misbruik van een kwetsbaarheid; niet meer dan noodzakelijk.
- Deel het probleem niet met anderen totdat het is opgelost.
- Plaats geen eigen backdoor in een informatiesysteem om daarmee de kwetsbaarheid aan te tonen. Dit kan extra schade opleveren en onnodige veiligheidsrisico’s veroorzaken.
- Verwijder alle vertrouwelijke gegevens die zijn verkregen via het lek direct nadat er een oplossing is toegepast.
- Maak geen gebruik van aanvallen (brute force) op fysieke beveiliging, social engineering, distributed denial of service (DDOS), spam en/of applicaties van leveranciers.
- Geef voldoende informatie om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Wat u van ons mag verwachten:
- Wij zullen er naar streven om binnen 3 dagen inhoudelijk op de melding te reageren, inclusief de verwachte oplossingstermijn. Uiteraard houden we u ook daarna regelmatig op de hoogte over de voortgang van het oplossen van het probleem.
- Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen. Een uitzondering hierop is als de wet hierom vraagt. Melden onder een anonieme naam is mogelijk.
- Wij vinden het belangrijk om u de credits te geven die u toekomen. We zullen uw naam bij een publicatie over de kwetsbaarheid alleen vermelden als u daarmee instemt.
- Als dank voor uw hulp in het beter beschermen van onze systemen, belonen we uw graag voor de melding van een tot dan toe ons nog onbekende kwetsbaarheid. De beloning is afhankelijk van de ernst van de kwetsbaarheid en de kwaliteit van de melding.
- Wij bepalen zelfstandig of een beloning wordt toegekend. Voorwaarde hiervoor is dat er een terechte melding is gedaan met een vernieuwend en substantieel karakter binnen bovenstaande voorwaarden.
We zijn blij dat u de moeite neemt om een melding te maken en werken graag met u samen. Maar houdt u zich niet aan bovenstaande voorwaarden? Dan kan het zijn dat we juridische stappen ondernemen. Als u dat wilt, treden wij naar buiten met nieuws over het gemelde probleem met uw naam als de ontdekker.