Responsible Disclosure

Hoe kan ik een zwakke plek in een ICT-systeem van Ares IT melden (Responsible Disclosure)?

Een zwakke plek in een ICT-systeem van Ares IT, via het e-mailadres info@aresit.nl Meld de kwetsbaarheid voordat u dit aan de buitenwereld kenbaar maakt. Zo kan Ares IT eerst maatregelen treffen. Dit heet Responsible Disclosure.

Waar u aan moet denken bij Responsible Disclosure ?

Als u een melding doet van een kwetsbaarheid in een ICT-systeem, denk dan aan de volgende zaken:

  • Geef voldoende informatie om het probleem te reproduceren. Zo kan Ares IT het probleem zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn.
  • Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat Ares IT met u contact kan opnemen.
  • Doe de melding zo snel mogelijk na ontdekking van de kwetsbaarheid.
  • Deel de informatie over het beveiligingsprobleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen.
  • Voldoet u bij uw melding aan deze voorwaarden? Dan verbindt Ares IT geen juridische consequenties aan de melding.

Maak geen misbruik van een zwakke plek in een ICT-systeem

Als u een kwetsbaarheid ontdekt, maak hier dan geen misbruik van. Bijvoorbeeld door:

  • malware te plaatsen;
  • gegevens in een systeem te kopiëren, wijzigen of verwijderen (een alternatief hiervoor is een directory listing maken van een systeem);
  • veranderingen aan te brengen in het systeem;
  • herhaaldelijk toegang te verkrijgen tot het systeem of de toegang te delen met anderen;
  • gebruik te maken van het zogeheten ‘bruteforcen’ van toegang tot systemen;
  • gebruik te maken van denial-of-service of social engineering.

Wat Ares IT doet bij Responsible Disclosure ?

Heeft u een melding gedaan van een zwakke plek in een ICT-systeem? Ares IT behandelt deze melding als volgt:

  • U krijgt binnen 1 werkdag een ontvangstbevestiging van Ares IT.
  • Ares IT reageert binnen 5 werkdagen op uw melding. Deze reactie bevat een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Ares IT houdt u als melder op de hoogte van de voortgang van het oplossen van het probleem.
  • Ares IT lost het beveiligingsprobleem zo snel mogelijk op, maar uiterlijk binnen 60 dagen. Ares IT zal samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost.
  • Ares IT biedt een beloning als dank voor de hulp.
  • Ares IT behandelt uw melding vertrouwelijk. Ares IT deelt persoonlijke gegevens niet zonder toestemming van u met derden. Behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. Ares IT kan, als u dat wilt, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.