Responsible Disclosure-beleid
RESPONSIBLE DISCLOSURE BIT B.V. - VERSIE 2018-12-31
Bij BIT vinden we de beveiliging van onze systemen erg belangrijk, maar ondanks onze inspanningen om de veiligheid te waarborgen, kan er toch een zwakke plek zijn. Als je een zwakke plek in een van onze systemen ontdekt, dan horen we dat graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om zowel onze klanten als onze systemen beter te beschermen. Ons Responsible Disclosure-beleid is ook beschikbaar als pdf.
De infrastructuur van BIT wordt ook gebruikt door systemen van derden en in veel gevallen door die derden beheerd. Zwakke plekken in door derden beheerde systemen vallen niet onder dit Responsible Disclosure-beleid. Systemen die niet onder dit beleid vallen hebben een hostname die vm.bit.nl, colo.bit.nl of customer.bit.nl bevat. U kunt desondanks meldingen maken voor systemen met dergelijke hostnames. Als u dit doet gaat u er bij voorbaat mee akkoord dat uw melding ongecensureerd wordt doorgestuurd naar de beheerder van het systeem in kwestie. In dergelijke gevallen zijn de beloftes die BIT hieronder doet niet meer van toepassing.
Wij vragen u:
- Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of geautomatiseerde tools, zoals vulnerability scanners.
- Geen misbruik te maken van het probleem door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te bewijzen, of het bekijken, verwijderen of wijzigen van gegevens van derden.
- Het probleem niet met anderen te delen tot het is opgelost.
- Uw bevindingen te mailen naar cert@bit.nl. Versleutel uw bevindingen met onze PGP-key (te vinden onderaan deze pagina) om gevoelige informatie uit de verkeerde handen te houden.
- Voldoende informatie te geven zodat we het probleem zo snel mogelijk kunnen reproduceren. Zo kunnen wij het probleem zo snel mogelijk oplossen. Doorgaans is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar voor complexere kwetsbaarheden kan aanvullende informatie nodig zijn.
- Alle gegevens die via het lek verkregen zijn te wissen.
Wat wij beloven:
- Als u aan de bovenstaande voorwaarden heeft voldaan, zullen wij geen juridische stappen tegen u ondernemen naar aanleiding van de melding.
- Wij reageren binnen drie werkdagen op uw melding met onze beoordeling en een geschatte datum voor een oplossing.
- Wij houden u op de hoogte van de status van de oplossing.
- Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming aan derden verstrekken, tenzij dit wettelijk verplicht is.
- Het is mogelijk om onder pseudoniem te melden.
- In alle communicatie met betrekking tot het gemelde probleem zullen wij u desgewenst vermelden als de ontdekker.
We streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.
De bovenstaande tekst is gebaseerd op het werk van Floor Terra zoals het gepubliceerd is op https://www.responsibledisclosure.nl.
De aangepaste tekst is gepubliceerd onder de Creative Commons Naamsvermelding 3.0 licentie.
PGP-key
-----BEGIN PGP PUBLIC KEY BLOCK----- mQINBFPOTg0BEAC3aCI0ZMwWOxBA6lpnVbCgtgLeCOLvM/1PmzZu4T2OHK9BLojA gxigjcb0eOKOAe5LIfFCVRMp/eflpH7F4u0CTILh9RRjaFStEaTWf7cizXiexsXg cdy1HKJCQ9FsHwinnFMgzCieP5lJKxgs+2IYfYNTZxQ8KsH+TNf7Z/clpGoXAglG MAlnsFmPPWj9nfpRmchpSXf6WvFISK/1EjqG0MYc+segcOsja2VhOlo+UEKVBHUh wMeWzTyYL1MDrEHUOpErAcnb6NR4tQZ555cYlhXRUj8pXpTSoOzunFKQ12cROlZT Ii7FamRF2joLAsIZWj7HyY7uY0I9FCLGuyXl/ncT3u3OyYidbdexmj9hm1voZpoQ FrFkQEnVDlcV5KzgEmVJK3FsZBGbrXVWhPNB+KAJotjOZwrjpPWL6RVsyRGVkwx7 FPE4qNP002BdZU0p9zABJup923A7i9aIZsspsjKPPcyzghedTIVEmDQMwsiQcEIw wE+JRCsrv+SzNB5Ac//3y/geVyNBEQ4COPdpAapTBCKdQqXsoYVoq+lTmIT4FYY9 8nZtWAMfZTeWtaHmj8Br3UlvqaZSZbJ9Bz6LFupUvtZMEqoDmivw9lIXva/t4kW8 wTwJLHltoxJLRfHT/94YurQHqKUtqOmS+HcpLI4N5WZLwMYcaj8vy+OZlwARAQAB tBZCSVQgQ0VSVCA8Y2VydEBiaXQubmw+iQI4BBMBAgAiBQJTzk4NAhsDBgsJCAcD AgYVCAIJCgsEFgIDAQIeAQIXgAAKCRCdykqXqA53sQR+D/4kXyVHLGYkfGf6hIdI UG55m/+vqbVMjTGotxvOEFv9orvYlcBH7ARdCZiJS+q+Y1E5vAr4nWHXRs+TOl1U K9IwStwCgISKTLcIsmfpaobwOskpf9qzxKU9eqGfExlzJBbRZMx0wffHq6kKEDU7 kiUIOQtoIzxGuYf6byVRXDT4PpXMRnEZQXwuVIABL3nOCjpWSpiFCVjphe17bQRC wpaBrOojRO7JAkO80xRXrY2aw1EaHRAxUy3W288c13jsYGUtSTKpO0mvNHAMIhWi DomBlsEAG56NOP7xunJh7m0ypX61lJuODN55tFO+LWgQNdqE7FM2wy9hM24iZE2l KfXZa8WqJBGvr6mEwZN+pAl1RCnbKbB8NY7gSJcBBbzr9UdUBrkljojMxuRz1iCe 6LtwGwA+N1dsFZ79f7dIkAr4GhndNO/8Lyy+zNGWA6aGMyyB7JRL5rWwIjveLbZ6 IQJDm8LLuJDhIcmQIn6T6SM1ui9gaaMhTGHnxGRwz3Xo24B2ifcdTYnCYQnW9vTo 8NgQORADJJ9Zi4lOHPgr6vzzSRL/nMdJdVWR093iZmfcuVw7BPZzHB14U1i191/V Dol9UxJm86xod+2VPT2YRzZ99uAmTccmueofr6p9Y69r5ucdx79dgMF4wCaaeXyO ylvanMGHa0raH2zOLoJsp/w74LkCDQRTzk4NARAAnfQM+Az/ZL73YcHPl9ra31IX UK7egukRHBtzm6BOe4uzOM9a/HTjG3MYsrfKcqp9UFMlj2R7sTLcip96b2jjhb1n iXVeg4uLmuYeKEowxnf1yhvd2KciSgCfXo8PHVoN5Lu8xBcaXCBcoUc69ix5ULQy MqcutvzVpPnUXnrdybNSiK0Hzn7xx8pNxv2cx7g+pXY4c/a4WUmYrjscSDM9wlsE eUIFqqIan/ks1PhZz6PXDVUIA4EkijURdXR5KvZOVfsIaBx7l1ZcglS5fBc45fm6 S7SDOpxWA2UaLw8dJ7mqfMk8bnC7w7fNh0dWtPLIG4Un20HBvbugpNoGuMilRLty fURB+xE+Z9dS8cFR5hM6HqhmHBRgh93FYL44S0GjwQYPhQjoW8bGXQM4N5nariLq wSh6UeSB+SnjIz+hFcXFtq82FCcc9Lo2saBvOIR3JSg6raun/R9ro+AGd4V7vPzG dj5ACUP+SQD3r7PMVLmse6wk6W4gm+jweYzgHseKKnGjZqNVZHeR853s7sRkaXap TnvLoWvAufKwBmnnkb5cLm4uP9JK96OdATAH5fr5Yf3VrdZQxs7g1Z2DAb3e/Qwd Z0PUQo7oo2/+Beq13fNF63osNv21DAVz926Mm7DyNkYb1znenIkPRoEfveB8zIUm 89XY2LbR3M3MBmyeackAEQEAAYkCHwQYAQIACQUCU85ODQIbDAAKCRCdykqXqA53 sZ79D/9N5A4MC2xFGYj6LZylLkTx/uewKr70pBYb7iST1e/exrJKjX8Wkq+FHSvj gnJ2ZyLgHlLfZ3fNxTLy2cqfNYtyROLhQu3gJBDZVaOIfenT7IeIjCcjOPGHEef0 qPTL1ZOZ9vYQzwE8wbwuRzKiiAc2BEhLbgWxfExCmg0UK98U1bKAJ8HwErnYfiUt Dsb0uKB7y+jBYYWsOh/kGLrakzvuo581ycE+PYRnOrYC6xVchFChiAny08KtrMya kFjCgt2GnuzLVADZpKzra4iHYqU7GpUxwmbDHHVbM8HncMp4wAbkg4WKncF4mLYw iqmAPyLsoGtWyDpEMG8WzxoLSKEJtlVK4V4YNbhMhWNTMuvX/AOk2/pSkc81To50 Pspo9JHqzOLNehVorKLjOfQ/hdhxvJS6C1HmZchg+pnKkdHWUCbyJPyfJSRQN63b QdRjCfvvNyqIovqUYuyFo+6BsDY+tP9OAj3tCokRljRYCOIc0GCzdNDw34DAOQ4u pgGn+L8+4AT6l4IWRrx7XcZHr9Poz/jlNmBtcC9LGJeqMEfs2a/lZtFx6JbOk792 MQTAHJuNHSys0M8VoMQWQCG0qz8dZY1ujp+KfR2Su3kSRLeAIUrnREaNv02mzWQ5 uZjLXzV88csfSZc5E1+fv9byq+exCmLEL383zVDXYYkpmYL67A== =n1Um -----END PGP PUBLIC KEY BLOCK-----