Beveiligingsverklaring

Cardan hecht veel waarde aan het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van onze systemen en streeft naar volledig transparante beveiligingsprocedures. Deze worden hieronder beschreven.

In onze privacyverklaring vindt u meer informatie over hoe we met uw gegevens omgaan.

Kwetsbaarheid melden

Cardan Technobility hecht veel waarde aan de waarborging van de beschikbaarheid, integriteit en vertrouwelijkheid van onze digitale systemen. Ondanks onze zorg voor informatiebeveiliging kan het voorkomen dat er zich een technische kwetsbaarheid voordoet. Vindt u een kwetsbaarheid in een systeem van Cardan Technobility, dan kunt u dit bij ons melden. Het maken van een melding heet Coordinated Vulnerability Disclosure (CVD). Op deze pagina leggen wij u graag uit hoe dit in zijn werk gaat.

Voor welke kwetsbaarheden kunt u een CVD-melding maken?

U kunt kwetsbaarheden melden wanneer deze een risico vormen voor de beveiliging van onze systemen. Voorbeelden hiervan zijn kwetsbaarheden die het mogelijk maken om een authenticatiemechanisme te omzeilen of op een onbedoelde manier toegang te verkrijgen tot vertrouwelijke gegevens. Niet iedere afwijking in een systeem is een kwetsbaarheid. We willen u daarom vragen om voor onderstaande afwijkingen geen CVD-melding bij ons te maken:

  • Een afwijking die geen impact heeft op de beschikbaarheid, integriteit of vertrouwelijkheid van vertrouwelijke informatie;

  • De beschikbaarheid van versie-informatie (bijvoorbeeld een info.php-bestand). Een mogelijke uitzondering hierop is wanneer uit de versie-informatie blijkt dat het systeem gebruikmaakt van software met bekende kwetsbaarheden;

  • De afwezigheid van HTTP security headers, tenzij deze afwezigheid aantoonbaar tot een beveiligingsprobleem leidt.

Wanneer u twijfelt of de kwetsbaarheid die u heeft gevonden onder een van bovenstaande uitzonderingen valt, kunt u deze uiteraard gewoon bij ons melden.

Hoe doet u een CVD-melding bij Cardan Technobility?

  • Mail uw bevindingen naar technobility@cybersquare.nl;

  • Verstuur de CVD-melding zo snel mogelijk na ontdekking van de kwetsbaarheid;

  • Zorg ervoor dat de CVD-melding Nederlandstalig of Engelstalig is;

  • Zorg ervoor dat uw CVD-melding de volgende informatie bevat:

    • Een gedetailleerde omschrijving van de kwetsbaarheid, eventueel inclusief CVE-nummer en/of EDB-ID;

    • Het IP-adres of de URL van het kwetsbare systeem;

    • Hoe het probleem gereproduceerd kan worden:

      • De genomen stappen om de kwetsbaarheid te identificeren;

      • Objecten die een rol spelen (zoals bijvoorbeeld invoervelden);

      • Schermafbeeldingen worden op prijs gesteld;

  • Laat bij voorkeur een e-mailadres achter zodat wij bij vragen contact met u kunnen opnemen.

Versleutel uw berichten

U kunt uw berichten aan Cardan Technobility versleutelen door gebruik te maken van de PGP-sleutel op deze pagina.

Wat moet u niet doen?

  • Het plaatsen van malware of andere software dat de beschikbaarheid, integriteit en/of vertrouwelijkheid van onze systemen kan schaden;

  • De kwetsbaarheid misbruiken door het verrichten van handelingen die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen, bijvoorbeeld door data te downloaden, kopiëren, wijzigen of verwijderen en gegevens van derden in te kijken;

  • Herhaaldelijk toegang tot onze systemen verkrijgen of de toegang en/of informatie te delen met anderen;

  • Het bewaren van vertrouwelijke gegevens die zijn verkregen bij het aantonen van de kwetsbaarheid, wis dergelijke gegevens direct na ontvangstbevestiging van de CVD-melding;

  • De volgende aanvalstechnieken zijn niet toegestaan:

    • Aanvalstechnieken die de normale systeemwerking negatief kunnen verstoren en beïnvloeden, waaronder “(Distributed) Denial of Service” aanvallen, spam en bufferoverlooppogingen;

    • Het omzeilen van authenticatiemechanismes door middel van “Bruteforce”, “Dictionairy” en “Social engineering” aanvallen;

    • Aanvallen op applicaties van derden.

De uitgangspunten van ons CVD-beleid

  • Wanneer u de CVD-melding volgens bovenstaande procedure doet, zullen wij geen juridische consequenties verbinden aan uw handelingen tijdens de identificatie van de kwetsbaarheid;

  • Wij behandelen uw CVD-melding vertrouwelijk en delen persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit noodzakelijk is om wettelijke verplichtingen na te komen;

  • Wij sturen u binnen één werkdag een bevestiging van ontvangst;

  • In eventuele berichtgeving over het gemelde probleem zullen wij, indien gewenst, uw naam vermelden als de ontdekker. Wij vermelden uw naam enkel met uw toestemming. Melden onder een pseudoniem is mogelijk.

Updates voor dit beleid

Cardan Technobility kan dit beveiligingsbeleid bijwerken door een nieuwe versie op deze website te plaatsen, voor de meest recente versie van ons beleid bezoekt u onze website.