Beleid voor openbaarmaking van kwetsbaarheden
Als u denkt dat u een beveiligingslek hebt gevonden met betrekking tot een STRONG product of service, kunt u uw melding bij ons indienen.
Van: STRONG Ges.m.b.H., Teinfaltstraße, 8/4 Wien, Wien, 1010 Oostenrijk
Verschenen april 2024
Inhoud
- Inleiding
- Rapportage
- Wat u kunt verwachten
- Begeleiding
- Juridische zaken
Inleiding
Dit beleid voor het openbaar maken van kwetsbaarheden is van toepassing op alle kwetsbaarheden die u overweegt aan STRONG te melden. Wij raden u aan om dit beleid volledig te lezen voordat u een kwetsbaarheid meldt en om altijd in overeenstemming met dit beleid te handelen.
We waarderen degenen die de tijd en moeite nemen om veiligheidslekken te melden volgens dit beleid. We bieden echter geen geldelijke beloning voor het melden van kwetsbaarheden.
Rapportage
Als u denkt dat u een beveiligingslek hebt gevonden, stuur ons dan uw melding via het volgende contactformulier en kies de aard "Beveiligingslek": *****(contactformulier) *****
Wat u kunt verwachten
Nadat je je melding hebt ingediend, reageren we binnen 5 werkdagen op je melding en streven we ernaar om je melding binnen 10 werkdagen te behandelen. We streven er ook naar om je op de hoogte te houden van onze voortgang.
De prioriteit voor herstel wordt bepaald door te kijken naar de impact, de ernst en de complexiteit van de exploit. Rapporten over kwetsbaarheden kunnen enige tijd in beslag nemen om te triagen of aan te pakken. In sommige gevallen kan het herstel 90 dagen of meer duren. U kunt de status opvragen, maar doe dit niet vaker dan eens in de 14 dagen. Zo kunnen onze teams zich concentreren op het herstel.
We brengen u op de hoogte wanneer de gemelde kwetsbaarheid is verholpen en u kunt worden gevraagd om te bevestigen dat de oplossing de kwetsbaarheid afdoende dekt.
Zodra uw kwetsbaarheid is verholpen, verwelkomen we verzoeken om uw rapport openbaar te maken. We willen graag uniforme begeleiding bieden aan getroffen gebruikers, dus blijf de openbare bekendmaking met ons coördineren.
Begeleiding
Je mag NIET:
- de toepasselijke wet- en regelgeving overtreden
- toegang tot onnodige, buitensporige of grote hoeveelheden gegevens
- gegevens in de systemen of diensten van STRONG te wijzigen
- intensieve invasieve of destructieve scantools gebruiken om kwetsbaarheden te vinden
- pogingen tot of meldingen van enige vorm van dienstweigering, bijvoorbeeld het overweldigen van een dienst met een groot aantal verzoeken
- de STRONG diensten of systemen verstoren
- rapporten indienen met details over niet-explodeerbare kwetsbaarheden of rapporten die aangeven dat de diensten niet volledig voldoen aan de "beste praktijk", bijvoorbeeld ontbrekende beveiligingsheaders
- kwetsbaarheden of daarmee samenhangende details bekend te maken op een andere manier dan beschreven in dit Beleid
- social engineeren, 'phishen' of het personeel of de infrastructuur van de organisatie fysiek aanvallen
- financiële compensatie eisen om kwetsbaarheden te onthullen
Je moet:
- altijd de regels voor gegevensbescherming naleven en de privacy van de gebruikers, medewerkers, contractanten, diensten of systemen van STRONG niet schenden. U mag bijvoorbeeld geen gegevens delen, herdistribueren of niet goed beveiligen die zijn opgehaald van de systemen of diensten.
- alle gegevens die u tijdens uw onderzoek hebt opgevraagd veilig verwijderen zodra ze niet langer nodig zijn of binnen 1 maand nadat de kwetsbaarheid is verholpen, afhankelijk van wat zich het eerst voordoet (of zoals anderszins vereist door de wetgeving inzake gegevensbescherming).
Juridische zaken
Dit beleid is ontworpen om compatibel te zijn met de gangbare goede praktijken voor het onthullen van kwetsbaarheden. Het geeft u geen toestemming om te handelen op een manier die in strijd is met de wet of waardoor de Organisatie of partnerorganisaties wettelijke verplichtingen zouden kunnen schenden.
Als er echter een juridische procedure tegen u wordt gestart door een derde partij en u hebt dit beleid nageleefd, kunnen we stappen ondernemen om bekend te maken dat uw handelingen zijn uitgevoerd in overeenstemming met dit beleid.
Bedankt voor je hulp om STRONG en onze klanten veilig te houden!