Responsible Disclosure

Bij Bovemij Group vinden we de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.

Als je een zwakke plek in één van onze systemen hebt gevonden, kan dit worden aangemeld, zodat we zo snel mogelijk de benodigde maatregelen kunnen treffen. Wij willen graag met jou samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Wij vragen aan jou om:

• Jouw bevindingen te mailen naar security@bovemij.nl. Versleutel de bevindingen indien mogelijk met de Pretty Good Privacy (PGP)-sleutel van Bovemij Group om te voorkomen dat de informatie in verkeerde handen valt.

• • PGP is een van de veel gebruikte versleutelingsmogelijkheden.
  • De te gebruiken PGP-sleutel is te vinden onderaan deze pagina.
  • Voldoende informatie geven om het probleem te reproduceren zodat Bovemij Group het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

• Contactgegevens achter te laten zodat Bovemij Group met jou in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter.
• De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
• De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
• Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Vermijd dus in elk geval de volgende handelingen:

• Het plaatsen van malware.
• Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
• Het aanbrengen van veranderingen in het systeem. Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
• Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
• Het gebruik maken denial-of-service of social engineering.

Je mag het volgende van ons verwachten:

• Als de melding aan de bovenstaande voorwaarden voldoet, verbinden wij geen juridische consequenties aan deze melding. Wij behandelen de melding strikt vertrouwelijk en delen geen persoonlijke gegevens met derden zonder toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
• Na een melding stuurt Bovemij Group je binnen één werkdag een ontvangstbevestiging.
• Bovemij Group reageert binnen vijf werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
• Wij houden je van de voortgang op de hoogte. Wij lossen het  geconstateerde beveiligingsprobleem in een systeem binnen een redelijke termijn op. In onderling overleg bepalen we wanneer en op welke wijze hierover wordt gepubliceerd.
• Als dank voor je hulp biedt Bovemij Group een beloning. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren. Het moet hierbij wel gaan om een voor Bovemij Group nog onbekend en serieus beveiligingsprobleem.

Deze tekst is opgesteld als aanvulling op de leidraad van het Nationaal Cyber Security Centrum.

Responsible disclosure Bovemij Group

Found a security vulnerability? Report it to us.

At Bovemij Group we consider the security of our systems very important. Despite our care for the security of our systems, it may happen that there is a vulnerability.

If you have found a weakness in one of our systems, please report it so that we can take the necessary measures as quickly as possible. We would like to work with you to better protect our customers and our systems.

We ask that you:

• Email your findings to security@bovemij.nl. If possible, encrypt the findings with Bovemij Group's Pretty Good Privacy (PGP) key to prevent the information from falling into the wrong hands. PGP is one of the commonly used encryption options. The PGP key to use can be found below.
• Provide sufficient information to reproduce the problem so that Bovemij Group can resolve it as quickly as possible. Usually the IP address or URL of the affected system and a description of the vulnerability is sufficient, but more may be required for more complex vulnerabilities.
• Leave contact details so that Bovemij Group can get in touch with you to work together on a secure outcome. Leave at least an email address or phone number.
• Make the report as soon as possible after discovery of the vulnerability.
• Not share the information about the security problem with others until it is resolved.
• Treat the knowledge about the security problem responsibly by not taking actions beyond what is necessary to demonstrate the security problem.

Thus, avoid at least the following actions:

• Placing malware.
• Copying, modifying or deleting data in a system (an alternative to this is creating a directory listing of a system).
• Making changes to the system. Accessing the system repeatedly or sharing access with others.
• Using what is known as "bruteforcing" access to systems.
• Using denial-of-service or social engineering.

You should expect the following from us:

• If your report meets the above conditions, we will not attach any legal consequences to this report. We will treat your report strictly confidential and will not share personal data with third parties without your permission, unless required by law or court order.
• Following a report, Bovemij Group will send you confirmation of receipt within one working day.
• Bovemij Group will respond to a report within five working days with an assessment of the report and an expected date for resolution.
• We will keep you informed of the progress. We will resolve the security problem you have identified in a system within a reasonable period of time. By mutual agreement, we determine when and how this will be published.
• As thanks for your help, Bovemij Group offers a reward. This reward may vary depending on the seriousness of the security problem and the quality of the report. It must be a security problem that is as yet unknown and serious to Bovemij Group.

This text has been prepared as a supplement to the National Cyber Security Center's guidelines..

https://bovemijgroup.nl/.well-known/security.txt

http://bovemijgroup.nl/pgp.txt