Responsible Disclosure
Bij DoneerDoel.nl vinden wij de veiligheid van
onze systemen erg belangrijk. Ondanks onze zorg voor
de beveiliging van onze systemen kan het
voorkomen dat er toch een zwakke plek is.
Als u een zwakke plek in één van
onze systemen heeft gevonden, dan horen wij dit graag
zodat we zo snel mogelijk maatregelen kunnen
treffen. Wij willen graag met u samenwerken om onze
klanten en onze systemen beter te kunnen
beschermen.
Wij vragen u:
- Uw bevindingen te mailen naar
info@doneerdoel.nl.
-
Het probleem niet te misbruiken door
bijvoorbeeld meer data te downloaden dan
nodig is om het lek aan te tonen of gegevens
van derden in te kijken, verwijderen of aanpassen,
-
Het probleem niet met anderen te delen
totdat het is opgelost en alle vertrouwelijke
gegevens die zijn
verkregen via het lek direct na het dichten van het
lek te wissen,
-
Geen gebruik te maken van aanvallen op
fysieke beveiliging, social engineering,
distributed denial of service, spam of
applicaties van derden, en
-
Voldoende informatie te geven om het
probleem te reproduceren zodat wij het zo
snel mogelijk kunnen oplossen. Meestal is
het IP-adres en de URL van het getroffen
systeem en een omschrijving van de
kwetsbaarheid voldoende, maar bij complexere
kwetsbaarheden kan meer nodig zijn.
Wat wij beloven:
- Wij reageren binnen 3 dagen op uw
melding met onze beoordeling van de melding en
een verwachte datum voor een oplossing,
- Als u zich aan bovenstaande voorwaarden
heeft gehouden zullen wij geen juridische
stappen tegen u ondernemen betreffende de
melding,
- Wij behandelen uw melding vertrouwelijk en
zullen uw persoonlijke gegevens niet zonder uw
toestemming met derden delen tenzij dat noodzakelijk
is om een wettelijke verplichting na te komen. Melden
onder een pseudoniem is mogelijk,
- Wij houden u op de hoogte van de voortgang
van het oplossen van het probleem,
- In berichtgeving over het gemelde probleem
zullen wij, indien u dit wenst, uw naam
vermelden als de ontdekker, en
- Als dank voor uw hulp bieden wij een
beloning aan voor elke melding van een ons nog
onbekend beveiligingsprobleem. De grootte van de
beloning bepalen wij aan de hand van de ernst
van het lek en de kwaliteit van de melding.
Waar krijg je geen vergoeding voor (wel vermelding mogelijk)?
- XSS* (* = als je alleen jezelf kan "aanvallen") - Wanneer de XSS mogelijkheid alleen er voor zorgt dat je jezelf kan "aanvallen". Slordig (dat geven we dan ook toe) maar dit kan geen kwaad bij onze bezoekers.
- (low/none)risk - Wanneer het geen enkele schade (dataverlies/inzage etc.) kan veroorzaken. Als bedankje kunnen we je (met link) vermelden op onze website.
Wij streven er naar om alle problemen zo snel mogelijk
op te lossen en wij worden graag betrokken bij een
eventuele publicatie over het probleem nadat het is
opgelost.