Responsible Disclosure

Click Here for English Version

PTA security vindt de beveiliging van deze website erg belangrijk. Ondanks de zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Als je een zwakke plek in onze website hebt gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met jou samenwerken om onze website beter te kunnen beschermen.

Wij vragen jou:

  • Alleen echte beveiligingslekken te melden inclusief bewijs dat jij er misbruik van kunt maken. Geen meldingen m.b.t. oude software, ontbrekende best practices of rapportages uit automatische scanning tools zonder bewijs van mogelijkheid tot misbruik.
  • Jouw bevindingen te mailen naar peter@pta-security.nl. Versleutel de bevindingen indien mogelijk met de onderstaande PGP-sleutel om te voorkomen dat de informatie in verkeerde handen valt. Je kunt ook ons profiel op hackerone.com gebruiken om melding te maken van een kwetsbaarheid.
    (PGP Key ID: 19D35B85 | PGP Fingerprint: 3FD8 F230 B04E C15E BEEA F92B 835E 3D39 19D3 5B85)
  • Voldoende informatie te geven om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is de URL waar de kwetsbaarheid in zit en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Contactgegevens achter te laten zodat we met jou in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal een email adres of telefoonnummer achter.
  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

De volgende handelingen zijn expliciet NIET toegestaan:

  • het plaatsen van malware.
  • wijzigen of verwijderen van gegevens.
  • het aanbrengen van veranderingen in de systeemconfiguratie.
  • het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • het gebruik maken denial-of-service.

Wat je mag verwachten:

  • Indien u bij de melding van een door jou geconstateerde kwetsbaarheid in de website van PTA-security aan bovenstaande voorwaarden voldoet, zullen we geen juridische consequenties verbinden aan deze melding.
  • Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens, niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kunnen we, indien u dit wenst, jouw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Wij sturen u binnen 1 werkdag een ontvangstbevestiging.
  • Wij reageren binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij houden de melder op de hoogte van de voortgang van het oplossen van het probleem.
  • Wij lossen het door jou geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.

Wat doen we met door ons aangetroffen kwetsbaarheden bij anderen:

  • PTA security voert alleen onderzoek uit naar lekken in door derden beheerde systemen na uitdrukkelijke toestemming hiervoor.
  • Wij behouden ons het recht voor zonder voorafgaande kennisgeving onderzoek naar kwetsbaarheden uit te voeren op door derden aan PTA security geleverde systemen en software als deze door PTA security zelf worden gehost en beheerd.
  • Wij zullen door ons geconstateerde zwakke plekken alleen melden aan eigenaar of de partij die verantwoordelijk is voor de hosting en/of het beheer van de systemen en software.
  • Bij kwetsbaarheden in door PTA security zelf gehoste en beheerde systemen en software brengen wij de leverancier hiervan op de hoogte.

Gebaseerd op de leidraad Responsible Disclosure geschreven door Floor Terra

Melding datalekken

PTA security vindt jou privacy en de vertrouwelijkheid van aan ons verstrekte bedrijfsgegevens erg belangrijk.

Ondanks onze zorg voor de beveiliging van onze systemen en gegevens kan het voorkomen dat er informatie terecht komt bij onbevoegden. Wij informeren u hier hoe wij in dit geval handelen.

Wat verstaan wij onder een datalek:

  • Een situatie waarbij wij weten of redelijkerwijs aan kunnen nemen dat onbevoegden toegang hebben gehad tot persoonsgegevens of door derden aan ons toevertrouwde bedrijfsgegevens.

Hoe reageren wij bij een datalek:

  • Na het constateren van een datalek heeft het dichten van het lek en het voorkomen van schade aan de betrokkenen onze hoogste prioriteit.
  • Wij onderzoeken het datalek met het doel te achterhalen welke data gelekt is, wat de oorzaak van het lek is en bij wie de gegevens terecht zijn gekomen.
  • We nemen maatregelen om herhaling te voorkomen.
  • Bij constatering strafbare feiten doen wij aangifte bij de politie.

Wie lichten wij in over een datalek:

  • Wij melden datalekken waar persoonsgegevens bij betrokken zijn aan het College Bescherming Persoonsgegevens.
  • Wij melden datalekken aan de personen en organisaties waar de gelekte data betrekking op heeft*.

*Als de gelekte data goed versleuteld is en er geen reden is om aan te nemen dat de informatie door onbevoegden kan worden ingezien doen we geen melding aan de betrokken personen en organisaties. De genomen beveiligingsmaatregelen zijn in dit geval effectief in het voorkomen van toegang tot de informatie.