Bij weMaron vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden horen, dan horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze gebruikers en onze systemen beter te kunnen beschermen. 

Ons beleid voor responsible disclosure is geen uitnodiging om ons netwerk en onze systemen uitgebreid actief te scannen om zwakke plekken te ontdekken. Wij en onze technologie partners monitoren ons bedrijfsnetwerk. Hierdoor is de kans groot dat een scan wordt opgepikt, dat er door onze CERT onderzoek wordt gedaan en er mogelijk onnodige kosten worden gemaakt. 

Er bestaat een kans dat u tijdens uw onderzoek handeling uitvoert die volgens het strafrecht strafbaar zijn. Als u zich aan de onderstaande voorwaarden heeft gehouden, zullen wij geen juridische stappen 11 tegen u ondernemen betreffende de melding. Het Openbaar Ministerie behoudt altijd het recht om zelf te beslissen of u strafrechtelijk vervolgd wordt. Het Openbaar Ministerie heeft hierover een beleidsbrief (http://www.om.nl/@161174/beleid-ethische/) gepubliceerd.  

Wij vragen u: 

  • Uw bevindingen zo snel mogelijk te mailen naar support@weMaron.nl. Versleutel uw bevindingen met een beveiligd .zip bestand om te voorkomen dat de informatie in verkeerde handen valt. Stuur de toegangssleutel via whatsapp naar 0640144044 
  • De zwakheid niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door het veranderen of verwijderen van gegevens en extra terughoudendheid te betrachten bij persoonsgegevens.  
  • De zwakheid niet met anderen te delen totdat het is opgelost. 
  • Geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, van social engineering, distributed denial-of-service, of spam. 
  • Voldoende informatie te geven om de zwakheid te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid en de uitgevoerde handelingen voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn. 

Wat wij beloven: 

  • Wij reageren binnen 3 werkdagen op uw melding met onze beoordeling van de melding en een 1 verwachte datum voor een oplossing, 
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. 
  • Wij houden u op de hoogte van de voortgang van het oplossen van de zwakheid. 
  • Anoniem of onder een pseudoniem melden is mogelijk. Het is voor u goed om te weten dat dit wel betekent dat wij dan geen contact kunnen opnemen over bijvoorbeeld de vervolgstappen, voortgang van het dichten van het lek, publicatie of de eventuele beloning voor de melding. 
  • In berichtgeving over de gemelde zwakheid zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker van de kwetsbaarheid. 
  • Wij kunnen u een beloning geven voor uw onderzoek. We zijn daartoe echter niet verplicht. U heeft dus niet zonder meer recht op een vergoeding. De vorm van deze beloning staat niet van tevoren vast en zal door ons per geval worden bepaald.  Of we een beloning geven en vorm van de beloning hangt af van de zorgvuldigheid van uw onderzoek, de kwaliteit van de melding en ernst van het lek. 
  • Wij streven er naar om alle problemen zo snel mogelijk op te lossen, alle betrokken partijen op de hoogte te houden en wij worden graag betrokken bij een eventuele publicatie over de zwakheid nadat het is opgelost. 

Ons beleid valt onder een Creative Commons Naamsvermelding 3.0 licentie. Het beleid is gebaseerd op het voorbeeldbeleid van Floor Terra 19 (responsibledisclosure.nl).