Responsible Disclosure Policy

Bij Bestel-thuis.nl vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een lek of zwakke plek is.

Als u een lek of zwakke plek in één van onze systemen (samenhangend met www.bestel-thuis.nl) vindt, horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze klanten/bezorgpartners en onze systemen beter te kunnen beschermen. Deze Responsible Disclosure Policy beschrijft wat wij van u vragen en hoe wij zullen reageren op uw meldingen.

Wij kunnen deze Responsible Disclosure Policy van tijd tot tijd aanpassen. Wij raden u aan deze Responsible Disclosure Policy regelmatig te raadplegen.

Hoe doet u een melding?

  • Informatie over een lek of zwakke plek (kwetsbaarheid) kunt u zo spoedig mogelijk na ontdekking mailen naar [email protected].
  • Vermeld in uw bericht voldoende informatie om de kwetsbaarheid op te sporen en uw handelingen te reproduceren zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Wij verzoeken u bij uw melding uw naam, e-mailadres en telefoonnummer te vermelden. Dit hoeft echter niet. U kunt ook onder een pseudoniem melden.

Wat zijn de spelregels?

Omdat wij het op prijs stellen dat u meedenkt met ons, bieden wij als dank voor uw hulp een beloning aan voor elke melding van een ons nog onbekende kwetsbaarheid. Voorwaarde daarbij is dat u zich aan alle spelregels uit deze policy houdt en wij de kwetsbaarheid door uw melding hebben verholpen. Het spreekt daarbij verder voor zich dat de door u gemelde kwetsbaarheid niet (mede) door u mag zijn veroorzaakt. De beloning is in de vorm van een voucher. De grootte van de beloning bepalen wij mede aan de hand van de ernst van de kwetsbaarheid, de snelheid van het melden en de kwaliteit van de melding.

Wij hanteren de volgende spelregels:

  • De kwetsbaarheden zijn op (systemen die samenhangen met) www.bestel-thuis.nl.
  • U mag de kwetsbaarheden niet verder te gebruiken dan noodzakelijk. Dit betekent onder andere dat u geen veranderingen in het systeem of de beveiliging aanbrengt, geen (persoons)gegevens, waartoe u niet gerechtigd bent, aanpast, verwijdert, downloadt, verspreidt of kopieert, geen toegang verschaft aan derden, geen eigen backdoor plaatst en geen spam verstuurt via ons systeem.
  • Alle gegevens die zijn verkregen in het kader van het ontdekken van de kwetsbaarheid moet u direct na het melden, wissen.
  • U mag geen gebruik maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, brute force, of applicaties van derden.
  • Het vaststellen van kwetsbaarheden mag nooit leiden tot schade aan Bestel-thuis.nl, waaronder reputatieschade, en verstoring van onze dienstverlening.

Wanneer u kwetsbaarheden vindt en deze bij ons meldt, kan het zijn dat u, ook als u zich aan deze spelregels heeft gehouden, handelingen verricht die strafbaar of anderszins onrechtmatig zijn. Handelt u integer, volgt u onze spelregels en meldt u de kwetsbaarheid direct aan ons, dan zullen wij geen juridische stappen ondernemen. Wij zijn evenwel niet verantwoordelijk voor uw handelingen, en kunnen niet uitsluiten dat dit als strafbaar gedrag of anderszins in strijd met enige regel of verplichting wordt aangemerkt.

Uitgesloten is het melden van:

  • Alle meldingen zonder een duidelijk rapport met het bewijs van mogelijke exploitatie
  • Ons beleid ten aanzien van de aanwezigheid of afwezigheid van SPF / DKIM / DMARC records
  • Cross Site Request Forgery (CSRF) kwetsbaarheden op statische pagina’s (alleen op pagina’s na inloggen)
  • Redirection van HTTP naar HTTPS
  • HTML does not specify charset
  • HTML uses unrecognized charset
  • Cookie zonder HttpOnly vlag
  • Geen gebruik van HTTP Strict Transport Security (HSTS)
  • Clickjacking of de afwezigheid van X-Frame-Options op niet inlog pagina’s
  • User enumeration
  • Mogelijk verouderde server- of applicatie versies (van externe partijen) zonder bewijs dat deze versies kwetsbaar zijn en bewijs van exploitatie.
  • Rapporten van onveilige SSL / TLS protocollen en andere misconfiguraties
  • Generieke kwetsbaarheden gerelateerd aan software of protocollen die niet onder controle van Bestel-thuis.nl vallen
  • Distributed Denial of Service (DDoS) aanvallen
  • Spam of Social Engineering technieken
  • Rapporten van reguliere scans zoals poortscanners

Wat doet Bestel-thuis.nl met een melding?

  • Wij streven er naar om binnen 3 werkdagen op uw melding te reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing, indien wij u die op dat moment kunnen geven.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonsgegevens niet zonder uw ondubbelzinnige toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Wij zullen uw persoonsgegevens ook niet langer bewaren dan noodzakelijk is voor het oplossen van de kwetsbaarheid.
  • Voor zover dit passend en mogelijk is, houden wij u op de hoogte van de voortgang van het oplossen van het probleem.

Communicatie

Het kan voorkomen dat Bestel-thuis.nl informatie over kwetsbaarheden naar buiten brengt of verplicht is deze informatie te melden bij een toezichthouder en/of de betrokkenen, waarop de gegevens betrekking hebben. Wanneer u dat wenst, zullen wij uw naam of pseudoniem als ontdekker vermelden in de berichtgeving over de gemelde kwetsbaarheid.

U mag geen informatie over de kwetsbaarheid en onze eventuele oplossingen naar buiten brengen zonder dat Bestel-thuis.nl daar haar uitdrukkelijke schriftelijke toestemming voor heeft gegeven.

Deze Responsible Disclosure Policy is gepubliceerd op 12 december 2015.

Onze website gebruikt analytische cookies om de werking van de website te verbeteren en reclame/tracking cookies om aan de gebruiker gerichte reclame te kunnen aanbieden.
Wanneer u gebruik blijft maken van deze website geeft u hiermee toestemming voor het gebruik van deze cookies.

Klik hier voor meer informatie