Coordinated Vulnerability Disclosure

Wij waarderen het wanneer klanten en beveiligingsexperts kwetsbaarheden in onze software en infrastructuur aan ons melden.

We moedigen klanten en onderzoekers aan om de beveiliging van ons product en onze infrastructuur te testen, mits dat op verantwoorde wijze gebeurt. Ben je van plan een dergelijke test uit te voeren? Neem dan contact op met onze afdeling ondersteuning en vraag om de samenwerkingsovereenkomst die wij hiervoor hebben opgesteld. Deze biedt richtlijnen over hoe je met ons kunt samenwerken. Deze biedt richtlijnen over hoe je met ons kunt samenwerken. Zo voorkom je bijvoorbeeld dat ons beveiligingsteam je tests verstoort wanneer die ontdekt worden door onze bewaking.

Bevindingen melden

Als je (mogelijke) beveiligingsproblemen hebt gevonden, zouden we het zeer op prijs stellen als je deze aan ons meldt. Het is ons streven om binnen één werkdag met een beoordeling te reageren op een melding, waarin ook eventuele herstelstappen worden aangegeven. Je kunt je bevindingen op de volgende manieren bij ons melden:

Follow-up

Beveiligingsincidenten hebben voor ons een hoge prioriteit. Wanneer mogelijk en nodig zullen er onmiddellijk risicobeperkende stappen worden ondernomen of geboden.

Als het nodig is om een wijziging in het product aan te brengen om een kwetsbaarheid te verhelpen, gaan we er direct mee aan de slag om deze op te nemen in de volgende versie.

Klanten die hebben gekozen voor ons Continuous Delivery-kanaal ontvangen automatisch een upgrade. Ook de eerstvolgende on-premisesrelease zal de fix bevatten. Omdat on-premisesklanten de upgrade zullen moeten downloaden, installeren en testen voor ze deze in productie nemen, verzoeken wij je om – als je je bevindingen openbaar wenst te maken – daar tot minimaal 90 dagen na de eerste melding mee te wachten.

Als onderdeel van ons streven om een verantwoordelijke leverancier te zijn, steunen we de richtlijnen van het Nationaal Cyber Security Centrum.