iDEAL Coordinated Vulnerability Disclosure
Currence iDEAL hecht veel waarde aan de veiligheid van haar systemen. Ondanks onze zorgvuldigheid bij het beveiligen van onze systemen, kan het gebeuren dat er toch een kwetsbaarheid aanwezig is.
Als u een kwetsbaarheid in een van onze systemen ontdekt, horen we dat graag van u, zodat we zo snel mogelijk passende maatregelen kunnen nemen. We willen graag met u samenwerken om onze klanten en onze systemen beter te beschermen.
We vragen u vriendelijk:
- Stuur uw bevindingen naar security@ideal.nl
- Maak geen misbruik van het probleem door bijvoorbeeld meer gegevens te downloaden dan nodig is om de kwetsbaarheid aan te tonen, of door gegevens van derden in te zien, te verwijderen of te wijzigen.
- Deel het probleem niet met anderen totdat het is opgelost, en verwijder alle vertrouwelijke informatie die via de kwetsbaarheid is verkregen direct na het dichten van het lek.
- Maak geen gebruik van fysieke aanvallen, social engineering, distributed denial of service (DDoS), spam of applicaties van derden.
- Geef voldoende informatie om het probleem te reproduceren, zodat we het snel kunnen oplossen. Meestal volstaat het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid, maar bij complexere kwetsbaarheden kan aanvullende informatie nodig zijn.
Onze beloften:
- We reageren binnen 2 weken op uw melding met onze beoordeling en een verwachte datum voor het oplossen van het probleem.
- Als u zich aan de bovenstaande voorwaarden houdt, zullen wij geen juridische stappen tegen u ondernemen in verband met de melding.
- We behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit noodzakelijk is om aan een wettelijke verplichting te voldoen. U kunt ook onder een pseudoniem melden.
- We houden u op de hoogte van de voortgang bij het oplossen van het probleem.
- In onze communicatie over het gemelde probleem zullen wij, indien u dat wenst, uw naam vermelden als de ontdekker.
- Als dank voor uw hulp bieden we een (ludieke) beloning aan voor elke relevante melding van een beveiligingsprobleem dat ons nog niet bekend is. De beloning bepalen we op basis van de ernst van het lek en de kwaliteit van de melding.
We streven ernaar om alle problemen zo snel mogelijk op te lossen en willen graag betrokken worden bij een eventuele publicatie over het probleem nadat het is verholpen.