Responsible disclosure

Vindt u een technische kwetsbaarheid? Laat het ons zo snel mogelijk weten! De veiligheid van onze systemen is voor ons van groot belang. Soms gaat er toch helaas iets mis. Het is fijn als u ons dit laat weten, zodat we maatregelen kunnen treffen. Zo werken we samen aan het verbeteren van de veiligheid van onze gegevens en systemen.

Hoe kunt u melden?

Een ontdekte bevinding kunt u melden via disclosure@sp.nl

Zorg ervoor dat:

  • U de melding zo snel mogelijk na ontdekking van de kwetsbaarheid doet.
  • U de informatie over het beveiligingsprobleem niet met anderen deelt totdat u van ons hoort of het is opgelost.
  • U verantwoordelijk omgaat met de kennis over het beveiligingsprobleem, bijvoorbeeld door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen

Wat moet u niet doen?

  • Malware plaatsen om een kwestbaarheid aan te tonen
  • Kopiëren, wijzigen of verwijderen van gegevens.
  • Veranderingen aanbrengen.
  • Herhaaldelijk toegang tot een systeem verkrijgen of de toegang delen met anderen.
  • Gebruikmaken van 'brute force' om toegang tot een systeem te verkrijgen.
  • Gebruikmaken van denial-of-service of 'social engineering'.

Wat doen we met uw melding?

Na ontvangst van uw melding via privacy@sp.nl, krijgt u van ons een automatische ontvangstbevestiging. U hoort binnen 5 werkdagen wat we met uw melding doen.

Is het een serieus beveiligingsprobleem? Dan krijgt u van ons als dank voor de melding een passende beloning. De beloning bepalen we op basis van het risico en de impact van het beveiligingsprobleem Let op: het moet hier wel gaan om een onbekend en serieus beveiligingsprobleem.

We gebruiken uw contactgegevens alleen om met u over de melding te communiceren. We delen deze niet met anderen. Behalve als we dit wettelijk moeten. Bijvoorbeeld als justitie ons dit vraagt. Of als we uw actie zien als een strafbaar feit (u dus niet te goeder trouw handelt) en we aangifte doen bij de politie.

Als u anoniem hebt gemeld, kunnen we u niet op de hoogte houden. Ook kunnen we u dan geen beloning geven.

Wat kunt u niet melden?

Deze Responsible Disclosure regeling is niet bedoeld voor het melden van klachten. Ook is de regeling niet bedoeld voor:

  • het melden dat de website niet beschikbaar is.
  • het melden van fraude.
  • het melden van nep e-mails (phishing e-mails).
  • het melden van virussen.

Beloning

Op basis van het risico van het gemelde beveiligingsprobleem stelt SP de beloning vast. Let op: indien de melding geen beveiligingsprobleem betreft of een laag risico vormt kan het zijn dat er geen beloning wordt toegekend.

Wanneer er dubbele meldingen worden ontvangen over een specifiek beveiligingsprobleem wordt de beloning toegekend aan de eerste persoon die dit beveiligingsprobleem rapporteert. SP stelt vast of er sprake is van een dubbele melding en deelt geen inhoudelijke gegevens over de desbetreffende meldingen. Een toegekende beloning wordt slechts aan één persoon verstrekt.

We proberen gelijke beloningen toe te kennen voor vergelijkbare beveiligingsproblemen. De beloningen en de in aanmerking komende beveiligingsproblemen kunnen echter wijzigen. Toegekende beloningen uit het verleden bieden geen garantie voor vergelijkbare resultaten in de toekomst.

Uitgangspunten van ons beleid

Wanneer u de melding volgens de procedure doet, hebben we geen reden om juridische consequenties te verbinden aan uw melding. We behandelen uw melding vertrouwelijk en delen persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.

Alleen met uw toestemming vermelden we uw naam als de ontdekker van de gemelde kwetsbaarheid.

We sturen u binnen één werkdag een bevestiging van ontvangst. Binnen vijf werkdagen reageren we op uw melding met de beoordeling van de melding. We houden u op de hoogte van de voortgang van het oplossen van het probleem.

De SP streeft ernaar het door u gemelde beveiligingsprobleem in een systeem uiterlijk binnen 60 dagen op te (laten) lossen. In overleg bepalen we, na oplossen van het probleem, of en op welke wijze erover wordt gepubliceerd.

We bieden een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een T-shirt tot cadeaubonnen. Het moet wel gaan om een voor het SP nog onbekend en serieus beveiligingsprobleem.