Responsible Disclosure

We vinden het belangrijk dat onze klanten veilig gebruik kunnen maken van onze dienstverlening.

Ontdekt u een kwetsbaarheid in een van onze systemen? Dan werken we graag samen met u aan
een oplossing. Een mogelijke zwakke plek kunt u aan ons melden via security@voogd.com.

Wij stellen het zeer op prijs als u een zwakke plek eerst aan ons meldt, voordat u dit aan de
buitenwereld verspreidt. Zo hebben wij de kans om op tijd maatregelen te nemen en een oplossing te
zoeken, voordat eventuele kwaadwillenden er misbruik van kunnen maken. Wij noemen dit
Responsible Disclosure.


Goede beveiliging heeft prioriteit

De veiligheid en betrouwbaarheid van onze systemen vinden we heel belangrijk. Daarom nemen wij
uw melding uiterst serieus. De digitale wereld verandert in een hoog tempo en we realiseren ons als
geen ander dat we waakzaam moeten zijn voor kwetsbaarheden. Ondanks onze inspanningen
kunnen er toch nog situaties ontstaan waarin sprake is van een zwakke plek in onze beveiliging.

Wat kunt u melden?

Hebt u een veiligheidsprobleem of zwakke plek ontdekt? Meld dit dan zo snel mogelijk, zodat wij snel
actie kunnen ondernemen. Voorbeelden van kwetsbaarheden die u kunt melden:

    -  Cross-Site Scripting (XSS) kwetsbaarheden
    -  SQL injectie kwetsbaarheden
    -  Zwakheden in inrichting beveiligde verbinding


Hoe moet ik een melding doen?

Stuur een e-mail naar security@voogd.com. Beschrijf hierin zo concreet mogelijk de ontdekte
kwetsbaarheid. Uw melding wordt door specialisten wordt; een korte specifieke beschrijving of bewijs
is daarom vaak voldoende. Stuur ook uw contactgegevens (zoals een telefoonnummer waarop u
bereikbaar bent) mee, zodat wij eventueel contact kunnen opnemen voor aanvullende informatie.


Privacy

Wij geven uw identiteit niet door aan derden en gebruiken uw gegevens niet voor andere doeleinden
dan om u te laten weten wat we doen met uw melding. Als de bevoegde autoriteiten uw gegevens
opvragen, zijn wij echter verplicht deze verstrekken, zonder voorafgaande toestemming.
Wat doen wij met uw melding?

Een team van beveiligingsexperts onderzoekt uw melding. Binnen 1 werkdag ontvangt u van ons een
ontvangstbevestiging. Binnen 5 werkdagen geven we een reactie op de inhoud van uw melding.


Wat verwachten wij van u?

Maak het probleem niet openbaar, het risico is dat kwaadwillenden dit dan kunnen uitbuiten. Praat met
onze experts en geef hen de tijd het probleem op te lossen. Wij laten u zo snel mogelijk weten wat we
met uw melding hebben gedaan en - indien nodig - welke maatregelen we nemen. Spelregels

Als u ons wilt helpen zwakke plekken te vinden, moet u mogelijk handelingen verrichten die strafbaar
zijn. Voogd & Voogd doet geen aangifte bij de politie, zolang u te goeder trouw, zorgvuldig en volgens
de hieronder aangegeven spelregels handelt:


1. Plaats geen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen

2. Maak geen gebruik van social engineering om toegang te krijgen tot een systeem

3. Maak zo minimaal mogelijk gebruik van een kwetsbaarheid, doe alleen datgene wat noodzakelijk is om de kwetsbaarheid vast te stellen

4. Kopieer, wijzig of verwijder geen gegevens van het systeem. Maak eventueel een directory listing of screenshot

5. Breng geen wijzigingen aan in onze systemen;

6. Probeer niet herhaaldelijk toegang tot het systeem te verkrijgen en deel de verkregen toegang niet met anderen;

7. Gebruik geen ‘bruteforce’ om toegang te krijgen tot systemen, dan is immers geen sprake van een kwetsbaarheid, maar van het herhaaldelijk proberen van wachtwoorden

8. Maak geen gebruik van geautomatiseerde tooling om kwetsbaarheden te ontdekken.


Nationaal Cyber Security Centrum

Deze responsible disclosure regeling is gebaseerd op de Leidraad Responsible Disclosure van het
NCSC. Zie ook de website van het NCSC: www.ncsc.nl.