Coordinated Vulnerability Disclosure

Reinigingsbedrijf Midden Nederland (RMN) vindt de beveiliging van haar systemen heel belangrijk. Toch kan het gebeuren dat er een zwakke plek in onze systemen zit.

Ontdekt u zo’n zwakke plek? Laat het ons dan weten. Zo kunnen wij het probleem snel oplossen.
Door een melding te doen, gaat u akkoord met de afspraken hieronder. RMN behandelt uw melding volgens deze afspraken.

Wat wij van u vragen

  • Stuur uw melding naar incident@IBDgemeenten.nl. Versleutel de informatie als dat kan met de publieke sleutel van de IBD. Zo voorkomt u dat de informatie bij de verkeerde personen terechtkomt.
  • Geef genoeg informatie zodat wij het probleem kunnen vinden en oplossen. Meestal zijn het IP-adres of de URL en een uitleg van het probleem voldoende. Bij ingewikkelde problemen kan meer informatie nodig zijn.
  • Tips om het probleem op te lossen zijn welkom. Geef alleen controleerbare feiten over de kwetsbaarheid. Vermijd reclame voor producten.
  • Laat uw contactgegevens achter. Bijvoorbeeld een e-mailadres of telefoonnummer. Zo kunnen we samen werken aan een oplossing.
  • Meld de kwetsbaarheid zo snel mogelijk nadat u deze heeft ontdekt.

Wat niet is toegestaan

  • Malware plaatsen, op onze systemen of die van anderen.
  • Proberen toegang te krijgen tot systemen door te “bruteforcen”.
  • Social engineering gebruiken.
  • Informatie over het probleem delen met anderen voordat het is opgelost.
  • Meer doen dan nodig is om het probleem aan te tonen. Bijvoorbeeld vertrouwelijke gegevens bekijken, kopiëren, aanpassen of verwijderen. Het wijzigen of verwijderen van gegevens is nooit toegestaan.
  • Aanvallen uitvoeren die systemen minder beschikbaar maken (zoals DoS-aanvallen).
  • Op welke manier dan ook misbruik maken van de kwetsbaarheid.

Wat u van ons mag verwachten

  • Houdt u zich aan de regels hierboven? Dan doen wij geen aangifte tegen u en starten wij geen rechtszaak.
  • Houdt u zich niet aan de regels? Dan kunnen wij alsnog juridische stappen nemen.
  • Wij behandelen uw melding vertrouwelijk. Wij delen uw gegevens niet zonder toestemming, behalve als de wet dit verplicht.
  • Wij delen meldingen met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo kunnen gemeenten van elkaar leren.
  • Wilt u dat wij uw naam noemen als ontdekker? Dan kan dat in overleg. Anders blijft u anoniem.
  • U krijgt binnen 1 werkdag een automatische ontvangstbevestiging.
  • Binnen 3 werkdagen ontvangt u een eerste reactie en, als dat kan, een verwachte oplosdatum.
  • Wij lossen het probleem zo snel mogelijk op. We proberen u goed op de hoogte te houden en streven ernaar het probleem binnen 90 dagen op te lossen. Soms zijn we daarbij afhankelijk van andere partijen.
  • In overleg bepalen we of en hoe we het probleem openbaar maken, nadat het is opgelost.