Responsible Disclosure

Bij Blanco Services vinden we de veiligheid van onze systemen, ons netwerk en onze producten van het grootste belang. Ondanks onze grote zorgvuldigheid voor de beveiliging van onze systemen, kunnen er nog steeds zwakke plekken blijven bestaan. Als u zo’n zwakte hebt gevonden, willen we daar zo snel mogelijk over horen, zodat we zo snel mogelijk passende maatregelen kunnen nemen.

Zwakke plekken kunnen op twee manieren worden ontdekt: u kunt per ongeluk iets tegenkomen tijdens het normale gebruik van een digitale omgeving, of u kunt expliciet uw best doen om ze te vinden.

Ons Responsible Disclosure beleid is geen open sollicitatie” om ons bedrijfsnetwerk actief te scannen om zwakke plekken te ontdekken. Wij houden zelf toezicht op ons bedrijfsnetwerk. Dit betekent dat de kans groot is dat er een scan wordt gedetecteerd en dat er een onderzoek wordt uitgevoerd door ons IT-team, wat kan leiden tot onnodige kosten.

U kunt echter wel worden uitgenodigd om actief te zoeken naar kwetsbaarheden in onze producten in een speciale omgeving via ons Bug Bounty Program op HackerOne. Als u uitgenodigd wil worden voor ons programma, kunt u een verzoek sturen naar security@​useblanco.​com met uw HackerOne-gebruikersnaam. Andere actieve zoekprogramma’s voor kwetsbaarheden zijn alleen toegestaan na schriftelijke toestemming van Blanco Services. Uit verantwoording naar onze cliënten willen we niet oproepen tot hack-pogingen op hun infrastructuur. Echter, ook hiervoor geldt dat we zo snel mogelijk van u willen vernemen zodra er kwetsbaarheden worden gevonden, zodat wij deze adequaat kunnen verhelpen.

Wij willen graag met u samenwerken om onze cliënten en onze systemen beter te kunnen beschermen.

Dit vragen wij u:

  • E-mail uw bevindingen zo snel mogelijk naar security@​useblanco.​com.
  • Maak geen misbruik van de kwetsbaarheid, bijvoorbeeld door het downloaden, bewerken of verwijderen van gegevens. Wij nemen uw melding altijd serieus en onderzoeken eventuele vermoedens van een kwetsbaarheid, ook zonder bewijs.
  • Deel het probleem niet met anderen totdat het is opgelost.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools, zoals vulnerability scanners. 
  • Geef ons voldoende informatie om het probleem te kunnen reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat we beloven:

  • Wij zullen binnen drie werkdagen op uw rapport reageren met onze evaluatie van het rapport en een verwachte datum voor een oplossing.
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen. Een uitzondering hierop is politie en justitie, in geval van aangifte of indien gegevens worden opgeëist.
  • Wij houden u op de hoogte van de voortgang van de oplossing van het probleem.
  • In de communicatie over het gemelde probleem vermelden wij, indien gewenst, uw naam als de ontdekker van het probleem.
  • Het is helaas niet mogelijk bij voorbaat juridische stappen tegen u uit te sluiten. We willen elke situatie apart kunnen afwegen. We achten ons zelf moreel verplicht om aangifte te doen op moment dat we het vermoeden hebben dat de zwakheid of gegevens misbruikt worden, of dat u kennis over de zwakheid met anderen hebt gedeeld. U kunt er op rekenen dat een toevallige ontdekking in onze online-omgeving niet tot aangifte zal leiden.
  • Als dank voor uw hulp bieden wij een beloning voor elke melding van een veiligheidsprobleem dat ons niet bekend is. We bepalen de waarde van de beloning op basis van de ernst van de overtreding en de kwaliteit van het rapport.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen, alle betrokken partijen op de hoogte te houden en wij worden graag betrokken bij een eventuele publicatie over het probleem, nadat het is opgelost.

Met dank aan Floor Terra voor zijn voorbeeldtekst op http://​respon​si​bledis​clo​sure​.nl/