Responsible Disclosure

De beveiliging van de Schluss-systemen heeft voor ons de hoogste prioriteit. Daarom nodigen we iedereen uit om mee te kijken of we dat hebben bereikt.
Wanneer je een probleem in één van onze systemen ontdekt, vernemen wij dit graag zo snel mogelijk van je. Wij kunnen dan meteen gepaste maatregelen nemen. Schluss zal je melding conform onderstaande afspraken afhandelen. Door het doen van de melding ga je akkoord met deze afspraken.

Wij nodigen je bij deze uit voor onze open source community om Schluss verder te ontwikkelen.

Wij vragen je:

  1. Mail je bevindingen naar info@schluss.org. Versleutel het bericht indien mogelijk en verstuur het over een beveiligde verbinding om te voorkomen dat de informatie in verkeerde handen valt.
  2. Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van het probleem voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  3. Contactgegevens (e-mail adres of telefoonnummer) achter te laten zodat we met je contact kunnen opnemen om samen te werken aan de oplossing.
  4. De melding zo snel mogelijk in te dienen na het ontdekken van het probleem.

En daarna zullen wij:

  1. Jouw melding vertrouwelijk behandelen en jouw persoonlijke gegevens zonder jouw toestemming niet delen met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht worden.
  2. In principe blijf je anoniem. Maar als je dat wenst, kunnen we je naam vermelden als de ontdekker van het gemelde probleem. Dat doen we na onderling overleg.
  3. Wij reageren binnen 3 werkdagen op een melding met een eerste beoordeling en eventueel een verwachte datum voor een oplossing.
  4. Wij lossen het door jou gemelde probleem zo snel mogelijk op. We proberen je zo goed mogelijk op de hoogte te houden van de voortgang en proberen nooit langer dan 90 dagen te doen over het oplossen van het probleem.
  5. In onderling overleg bepalen we of en op welke wijze we over het probleem publiceren nadat het is opgelost.
  6. Essentiële hulp belonen wij. De beloning kan variëren.
  7. Als je aan alle (dus ook onderstaande) voorwaarden voldoet, zullen we geen juridische stappen ondernemen.

De volgende handelingen zijn niet toegestaan:

  1. Het plaatsen van malware, noch op onze systemen noch op die van anderen.
  2. Het zogeheten “bruteforcen” van toegang tot systemen.
  3. Het gebruik maken van social engineering.
  4. Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost.
  5. Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken(waaronder het inzien of kopiëren)van vertrouwelijke gegevens waar je door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kun je volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan. Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen).

Misbruik van onze systemen op wat voor wijze dan ook wordt bestraft.