Responsible Disclosure

Bij Portbase heeft de veiligheid van onze systemen de hoogste prioriteit. Ondanks onze inspanningen om onze systemen veilig te houden kan het voorkomen dat er kwetsbaarheid optreedt. Digitale technieken en inzichten veranderen immers dagelijks. Mocht je een kwetsbaarheid in onze systemen ontdekken, dan horen wij dat graag. Zo kunnen we directe gepaste maatregelen en zorgen we voor een veilige digitale omgeving voor onze klanten en onszelf.

Wij vragen je:
  • Jouw bevindingen te mailen naar security@portbase.com. Beveilig of versleutel jouw bevindingen om te voorkomen dat de informatie in verkeerde handen valt;
  • Verantwoordelijk om te gaan met de gevonden kwetsbaarheid en om deze op geen enkele wijze te misbruiken, bijvoorbeeld door niet meer data te downloaden dan noodzakelijk en geen gegevens van derden in te zien, te verwijderen of aan te passen;
  • Jouw bevindingen niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het oplossen ervan te wissen;
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden, en;
  • Voldoende informatie te geven om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn;
  • Voldoende gegevens te vermelden zodat we contact met je op kunnen nemen. Vermeld minimaal jouw e-mailadres en bij voorkeur jouw telefoonnummer. Wij zullen vertrouwelijk met jouw gegevens omgaan.
Wij beloven je:
  • Binnen drie (3) werkdagen op jouw melding te reageren met een ontvangstbevestiging. Wij zullen uiterlijk binnen dertig (30) werkdagen inhoudelijk op jouw melding reageren. Deze inhoudelijke berichtgeving geeft eveneens inzicht in de verwachte oplosdatum.
  • Jouw melding vertrouwelijk te behandelen en jouw persoonlijke gegevens niet zonder jouw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • Geen juridische stappen tegen je te zullen ondernemen naar aanleiding van jouw melding als jij je aan voornoemde voorwaarden hebt gehouden.
  • Indien gewenst je op de hoogte te houden van voortgang omtrent de oplossing.
  • In berichtgeving over het gemelde probleem zullen wij, desgewenst, jouw naam vermelden als de ontdekker.
  • Als dank voor jouw hulp bieden wij je een ludieke/passende beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.

Wij streven er naar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Dit responsible disclosure-beleid is gebaseerd op een voorbeeld geschreven door Floor Terra en de leidraad responsible disclosure van het NCSC.

© Portbase, versie augustus 2024