Verantwoord kwetsbaarheid openbaarmakingsbeleid
Inhoud:
- Doel
- Toepassingsgebied
- Juridisch standpunt
- Algemene voorwaarden
- Een kwetsbaarheid melden
- Voorkeur, prioritering en acceptatiecriteria
- Wat wij van u verwachten
- Wat u van ons kunt verwachten
Doel
De veiligheid en beveiliging van onze klanten is een essentiële prioriteit voor Intus, en wij zetten ons hier volledig voor in. Met dit doel voor ogen heeft Intus dit beleid geformaliseerd voor het ontvangen van kwetsbaarheidsrapportages over onze producten.
Wij streven naar een open samenwerking met de beveiligingsgemeenschap en erkennen dat het werk dat de gemeenschap verricht belangrijk is om de veiligheid en beveiliging van al onze klanten te blijven waarborgen.
Dit beleid is ontwikkeld om zowel onze bedrijfswaarden te weerspiegelen als onze wettelijke verantwoordelijkheid na te komen jegens beveiligingsonderzoekers die te goeder trouw hun expertise met ons delen. Dit verantwoord kwetsbaarheid openbaarmakingsbeleid is opgesteld met behulp van de NTIA Safety Working Group's Vulnerability Disclosure Template versie 1.1.
Toepassingsgebied
Dit verantwoord kwetsbaarheid openbaarmakingsbeleid heeft aanvankelijk betrekking op de volgende producten:
Hoewel Intus ook andere producten ontwikkelt, verzoeken wij alle beveiligingsonderzoekers uitsluitend kwetsbaarheidsrapportages in te dienen voor de genoemde producten. Wij zijn van plan ons toepassingsgebied uit te breiden naarmate wij andere producten ontwikkelen.
Juridisch standpunt
Wij zullen geen juridische stappen ondernemen tegen personen die kwetsbaarheidsrapportages indienen bij het beveiligingsteam van Intus. Wij accepteren openlijk meldingen voor de momenteel vermelde producten. Wij komen overeen geen juridische stappen te ondernemen tegen personen die:
- Systemen testen of onderzoek uitvoeren zonder Intus of haar klanten schade toe te brengen.
- Kwetsbaarheidstests uitvoeren binnen het kader van ons verantwoord kwetsbaarheid openbaarmakingsbeleid.
- Producten testen zonder klanten te beïnvloeden, of vooraf toestemming van klanten verkrijgen voordat zij kwetsbaarheidstests uitvoeren op hun apparaten, software, etc.
- Zich houden aan de wetgeving van hun eigen locatie en die van Intus. Het overtreden van wetten die uitsluitend aanleiding kunnen geven tot een vordering van Intus (en niet tot een strafrechtelijke vordering) kan bijvoorbeeld aanvaardbaar zijn, omdat Intus de activiteit (reverse engineering of het omzeilen van beveiligingsmaatregelen) toestaat ter verbetering van haar systeem.
- Afzien van het openbaar maken van details over kwetsbaarheden voordat een onderling overeengekomen termijn is verstreken.
Algemene voorwaarden
Door informatie in het kader van dit beleid ("de Melding") bij Intus in te dienen:
- Bevestigt u dat u te goeder trouw handelt en verbindt u zich ertoe de in dit beleid vastgelegde richtlijnen na te leven.
- Stemt u ermee in dat Intus de Melding mag gebruiken om haar software bij te werken en/of te verbeteren; en verleent u aan Intus een niet-exclusieve, eeuwigdurende, onherroepelijke, wereldwijde, royaltyvrije licentie, met het recht tot sub-licentieverlening aan de licentienemers en klanten van Intus, onder alle relevante intellectuele eigendomsrechten, om de Melding op welke wijze dan ook te gebruiken, te publiceren en openbaar te maken, en om producten of diensten van Intus en haar sub-licentienemers die de Melding bevatten, op welke wijze en via welk medium Intus ook kiest, te vertonen, uit te voeren, te kopiëren, te vervaardigen, te laten vervaardigen, te gebruiken, te verkopen en anderszins te exploiteren, zonder vermelding van de bron. Intus heeft het recht de Melding voor elk doel te gebruiken zonder enige beperking of vergoeding van welke aard dan ook jegens u en/of uw vertegenwoordigers.
Een kwetsbaarheid melden
Om een kwetsbaarheidsrapportage in te dienen bij het beveiligingsteam van Intus, stuurt u een e-mail naar security@intus.nl.
Voorkeur, prioritering en acceptatiecriteria
Wij hanteren de volgende criteria om ingediende meldingen te prioriteren en te beoordelen.
Wat wij van u verwachten
- Goed geschreven rapporten in het Nederlands of Engels.
- Rapporten met proof-of-concept code.
- Rapporten die meer bevatten dan alleen crashdumps of andere geautomatiseerde tool-uitvoer.
- Rapporten waarin u beschrijft hoe u de kwetsbaarheid heeft gevonden, wat de impact is en welke mogelijke oplossingen er zijn.
Wat u van ons kunt verwachten
- Een tijdige reactie op uw e-mail.
- Na beoordeling sturen wij u een verwachte planning en streven wij ernaar zo transparant mogelijk te zijn over de termijn voor herstel, alsmede over eventuele problemen of uitdagingen die deze termijn kunnen verlengen.
- Een open dialoog om kwesties te bespreken.
- Kennisgeving zodra de kwetsbaarheid is gevalideerd en verholpen.
