Kwetsbaarheden melden

Tijdens de onderzoek werkzaamheden van de ethische hacker is het mogelijk dat er acties worden ondernomen die strafbaar zijn. Wanneer dit gebeurt vanuit goed vertrouwen en goede bedoelingen met onderstaande regels is er in beginsel geen enkele reden voor Zuyderland om dit door te geven aan de autoriteiten.

We verzoeken je vriendelijk onderstaande regels te volgen en niet onverantwoordelijk te handelen:

• Gevonden kwetsbaarheden dienen bij Zuyderland te worden gemeld. Zuyderland experts zullen het probleem verhelpen. Eventueel is hiervoor aanvullende informatie over de kwetsbaarheid nodig.
• Zorg ervoor dat er geen schade wordt toegebracht tijdens jouw onderzoek.
• Maak geen gebruik van Social Engineering om toegang te krijgen tot de IT-Systemen van Zuyderland.
• Het onderzoek mag er op geen enkele manier voor zorgen dat er een verstoring wordt veroorzaakt bij een van onze (online) diensten.
• Het is niet toegestaan om(D)DOS-activiteiten uit te voeren
• Op geen enkele wijze mag het onderzoek leiden tot het naar buiten brengen van medewerker-, patiënt- en/of cliëntgegevens. Indien deze onverhoopt worden gevonden dient hier direct melding van gemaakt te worden bij Zuyderland.
• Het is niet toegestaan om een backdoor in het systeem achter te laten, ook niet om de kwetsbaarheid aan te tonen.
• Het aanbrengen van een backdoor zorgt ervoor dat de kwetsbaarheid verder kan worden geëxploiteerd.
• Het is niet toegestaan om wijzigingen aan te brengen in de data of deze te verwijderen.
• In het geval dat het nodig is voor de bevinding om een kopie te maken van de data in het systeem, beperk dit dan tot wat noodzakelijk is voor de bewijslast. Maak herleidbare data onleesbaar in communicatieberichten.
• Het is niet toegestaan om de configuratie van systemen te wijzigen en/of te kopiëren en/of op te slaan.
• Beperk het onderzoek tot wat strikt noodzakelijk is om de kwetsbaarheid te vinden en aan te tonen. Indien toegang is verkregen, verwachten wij dat deze op geen enkele wijze gedeeld wordt met anderen. Inbreuk in systemen dient per direct te worden gemeld bij Zuyderland.
• Maak geen gebruik van brute force technieken om toegang te krijgen tot de systemen.
• Gebruik geen technieken die de bereikbaarheid van onze (online) diensten beïnvloeden.

Houd er rekening mee dat wet- en regelgeving ook voor Responsible Disclosures in elk land verschillend is. In het geval dat je buiten Nederland verblijft, kan het zijn dat ons beleid niet volledig op jou van toepassing is.

Het kan dus zijn dat, ook al heb je volgens de richtlijnen van het Responsible Disclosure beleid van Zuyderland gehandeld, er door justitie wordt opgetreden ondanks het feit dat Zuyderland de kwetsbaarheid niet aan hen gerapporteerd heeft.

• Opmerkingen over de diensten die Zuyderland levert.
• Opmerkingen of vragen over de bereikbaarheid van onze diensten.
• Rapporteren van fraude of mogelijke fraude.
• Rapporteren van mogelijk valse of zogenaamde phishing e-mails.
• Rapporteren van virussen en/of malware.

Beschrijf de gevonden kwetsbaarheid zo duidelijk en gedetailleerd mogelijk en voeg bewijs bij. Herleidbare informatie/ data naar individuen en/of groepen dient te worden afgeschermd. Je kunt er hierbij vanuit gaat dat de melding door technische beveiligingsexperts wordt gelezen. Meldingen kunnen worden verstuurd aan security@zuyderland.nl

Vermeld minimaal het volgende:

• Welke kwetsbaarheid is gevonden.
• De volledige URL waar deze is gevonden.
• De genomen stappen om de kwetsbaarheid te vinden.
• Objecten (zoals filters of invoervelden) die een rol spelen.
• Screenshots (zonder herleidbare data naar individuen en/of groepen) worden op prijs gesteld.

Let op: we accepteren alleen rapporten in het Nederlands of Engels.

Na ontvangst van je melding zal een team van beveiligingsexperts deze beoordelen en zo snel mogelijk reageren. We vragen je vriendelijk om geduld te hebben en hen de tijd te gunnen grondig onderzoek te verrichten en de juiste acties uit te zetten. Zodra er meer bekend is, wordt er wederom contact met je opgenomen.

We vragen je in geen geval de melding publiek te maken zonder overleg met Zuyderland.

Zuyderland waardeert je inzet om ons te helpen onze systemen en processen veilig te houden. Vandaar dat wij in de meeste gevallen tot een passende vergoeding over gaan. De hoogte van de vergoeding wordt bepaald op basis van impact. Hiervoor hoeven wij geen verantwoording af te leggen en behouden te allen tijde het recht om de vergoeding en de hoogte volledig zelfstandig te bepalen.

Als je in aanmerking komt voor een beloning, hebben wij je persoonlijke gegevens nodig. Als je ervoor kiest om anoniem te blijven bij het melden van de kwetsbaarheid, zullen we dat respecteren.

We zullen je contactinformatie uitsluitend gebruiken om je op de hoogte te houden en zullen het niet delen met derden zonder jouw uitdrukkelijke toestemming. Er zijn echter uitzonderingen waarbij we verplicht zijn om de informatie door te geven, zoals bij wettelijke verplichtingen of als we het onderzoek van de gemelde kwetsbaarheid doorgeven aan een externe partij. In deze gevallen zullen we er alles aan doen om ervoor te zorgen dat je informatie vertrouwelijk wordt behandeld en voelen we ons verantwoordelijk voor het beschermen van jouw gegevens.