Coordinated Vulnerability Disclosure

CVD Medux

Deze Coordinated Vulnerability Disclosure is voor het laatst bijgewerkt op 14 januari 2021.

Wij besteden veel zorg en aandacht aan de veiligheid en integriteit van onze systemen en diensten. Wij zijn ons ervan bewust dat er desondanks toch kwetsbare plekken gevonden kunnen worden in onze systemen. In dat geval komen wij daar het liefst zo snel mogelijk achter, zodat wij actie kunnen ondernemen om de kwetsbaarheid te verhelpen. Mocht het zo zijn dat je een kwetsbaarheid hebt gevonden, dan werken wij graag met je samen om de kwetsbaarheid op te lossen. 

Dit Coordinated Vulnerability Disclosure beleid is van toepassing op de website van Medux B.V. (www.medux.nl) en de websites van de onderliggende organisaties. In dit beleid leggen wij uit hoe wij te werk gaan. 

Wat wij van jou vragen

  • Stuur je bevindingen per e-mail naar [email protected].

  • Misbruik de zwakheid niet door bijvoorbeeld gegevens te downloaden, veranderen of te verwijderen. Wij nemen je melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook zonder ‘bewijs’.

  • Deel het probleem niet met anderen totdat het is opgelost.

  • Maak geen gebruik van aanvallen op fysieke beveiliging, van social engineering of hacking tools, zoals vulnerability scanners.

  • Geef ons voldoende informatie om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Wat wij beloven

  • Wij reageren binnen 3 werkdagen op jouw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing,

  • Als jij je aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen je ondernemen betreffende de melding,

  • Wij behandelen je melding vertrouwelijk en zullen persoonlijke gegevens niet zonder toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk,

  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem,

  • In berichtgeving over het gemelde probleem zullen wij, indien dit gewenst is, jouw naam vermelden als de ontdekker.

  • Als blijk van waardering bieden wij een beloning voor meldingen van kwetsbaarheden die nog niet bij ons bekend waren. De beloning is afhankelijk van de ernst van de gevonden kwetsbaarheden, de kwaliteit van de melding en de manier van samenwerken.