Coordinated Vulnerability Disclosure

Het Nationaal Groenfonds vindt de veiligheid van systemen, infrastructuur en diensten erg belangrijk. Ondanks dat er veel zorg wordt besteed aan de beveiliging hiervan, kan het voorkomen dat er toch een kwetsbaarheid aanwezig is.

Het doel van deze Coordinated Vulnerability Disclosure is om de veiligheid van de ICT-systemen van het Nationaal Groenfonds te verhogen door kennis over kwetsbaarheden te delen, maar is geen uitnodiging om geautomatiseerd en uitgebreid onze systemen, infrastructuur en/of diensten te scannen naar kwetsbaarheden.

Als u een kwetsbaarheid in onze omgeving heeft gevonden horen wij dit graag van u, en werken we graag met u samen om deze situatie zo spoedig mogelijk op te lossen. Daarom verzoeken we u deze informatie met ons te delen. Om misbruik van de mogelijke kwetsbaarheid door anderen te voorkomen, vragen we u om bij een melding de volgende richtlijnen aan te houden:

Wij vragen u:

  • Uw bevindingen zo snel mogelijk te mailen naar servicedesk@nationaalgroenfonds.nl

  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.

  • Het probleem niet met anderen te delen, minimaal totdat het probleem door ons is opgelost.

  • Alle vertrouwelijke gegevens die zijn verkregen via het lek direct op een veilige manier permanent te wissen.

  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, denial of service (DoS/DDoS), spam of applicaties (vulnerability scanners) van derden.

  • Voldoende informatie te geven om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.

Wat wij beloven:

  • Het Nationaal Groenfonds reageert binnen vijf werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.

  • Het Nationaal Groenfonds houdt u op de hoogte van de voortgang van het oplossen van het probleem.

  • Het Nationaal Groenfonds behandelt uw melding vertrouwelijk en zal uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.

  • In berichtgeving over het gemelde probleem zal het Nationaal Groenfonds, indien u dit wenst en met uw uitdrukkelijke toestemming, uw naam vermelden als de ontdekker.

Het is helaas niet mogelijk om bij voorbaat juridische stappen uit te sluiten. Het Nationaal Groenfonds acht zichzelf moreel verplicht om aangifte te doen op het moment dat we het vermoeden hebben dat zwakheden of gegevens misbruikt worden, of dat u kennis over de zwakheid met anderen heeft gedeeld. U kunt er echter op rekenen dat, wanneer de richtlijnen van deze Coordinated Vulnerability Disclosure gevolgd worden, het melden niet tot aangifte zal leiden.

Het Nationaal Groenfonds streeft ernaar om alle problemen zo snel mogelijk op te lossen en alle betrokken partijen op de hoogte te houden. Nadat het probleem is opgelost, werken wij indien gewenst graag mee aan eventuele publicaties hierover.