Responsible disclosure

Laatste update: 4 februari 2023

Binnen Innovadis vinden we beveiliging heel belangrijk. Wij zullen er dan ook altijd alles aan doen om onze systemen zo veilig mogelijk te houden. Ondank al onze voorzorgsmaatregelen en controles kan het helaas voorkomen dat er tijdelijk een zwakke plek in een van onze systemen te vinden is. Heb je een zwakke plek ontdekt? Laat het ons dan weten, zo kunnen wij snel gepaste actie ondernemen. Wanneer je een melding maakt ga je automatisch akkoord met de hierna genoemde afspraken over onze Responsible Disclosure. Uiteraard handelen wij de melding met gepaste zorg en volgens de genoemde afspraken af.

Wij vragen:

  • Een melding te maken binnen 24 uur na ontdekking van het probleem
  • De melding door te geven via datalek@innovadis.com
  • Voldoende informatie te geven om het probleem te kunnen reproduceren. Dat geeft ons de gelegenheid om e.e.a. zo snel mogelijk op te lossen. Vaak is het doorgeven van een IP-adres of URL samen met een omschrijving van het probleem en een schermafdruk al voldoende. Bij complexere zaken kunnen wij soms om meer informatie vragen.
  • Alleen feitelijkheden door te geven die betrekking hebben op het probleem.
  • Eventuele tips door te geven die ons kunnen helpen het probleem op te lossen. Let op; vermijd hierbij advies dat gezien kan worden als reclame voor specifieke (beveiligings)producten.
  • De bevindingen te beperken tot de hoofdlijnen (helicopterview)
  • Minimaal een emailadres of telefoonnummer achter te laten, zodat we contact op kunnen nemen bij vragen en onduidelijkheden. Tevens kunnen we op deze manier sneller (samen)werken aan een veilige oplossing. Natuurlijk kan en mag dit altijd anoniem.
  • Om het probleem niet openbaar te delen totdat we het hebben opgelost. Mocht het ons niet lukken het probleem snel en adequaat op te lossen, willen we je ook vragen om hier geen bekendheid aan te geven en e.e.a. niet openbaar te maken/te delen.
  • Om eventuele verkregen (vertrouwelijke) gegevens zo snel mogelijk te wissen.

Hier worden wij niet zo blij van:

  • Misbruik maken van het probleem. Download bijvoorbeeld niet méér gegevens dan nodig om het lek te testen. Verwijder of verander daarbij ook geen gegevens, zeker niet van anderen.
  • Maak geen gebruik van tooling die bij Innovadis overlast kunnen veroorzaken.
  • Het plaatsen van malware op onze systemen.
  • Het zogeheten “Bruteforcen” van toegang tot onze systemen is niet toegestaan.
  • Gebruik making van Social engineering.

Jij krijgt:

  • Binnen drie werkdagen een reactie op de melding met onze beoordeling en voor zover nodig, de verwachte oplossingstermijn.
  • Updates omtrent de probleemoplossing.
  • De zekerheid dat we vertrouwelijk omgaan met je persoonsgegevens. Wij zullen deze alleen aan anderen doorgeven wanneer we dit wettelijk verplicht zijn (denk aan een vordering van de justitie).
  • Anonimiteit. Wij besteden geen publieke aandacht aan meldingen. Alleen wanneer en een meldplicht (data)lekken geldt en de wet dit voorschrijft. Ook dan blijft de melder, indien gewenst, anoniem.
  • Een kleine beloning voor een melding van een bij ons onbekend probleem. De hoogte van de beloning bepaalt Innovadis en wordt gebaseerd op de ernst van het probleem.