Coordinated Vulnerability Disclosure
Gemeente ’s-Hertogenbosch hecht veel belang aan de beveiliging van haar systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek in één van onze systemen ontdekt, vernemen wij dit graag van u, zodat wij snel gepaste maatregelen kunnen nemen. Door het maken van een melding verklaart u zich als melder akkoord met onderstaande afspraken over Coordinated Vulnerability Disclosure en zal Gemeente ’s-Hertogenbosch uw melding conform onderstaande afspraken afhandelen.
Wij vragen het volgende van u:
- Om uw bevindingen te rapporteren, stuurt u een bericht via het digitaal contactformulier.
- Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Wij houden ons aanbevolen voor tips die ons helpen het probleem op te lossen. Beperkt u zich daarbij wel graag tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde kwetsbaarheid en vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings)producten.
- Contactgegevens achter te laten zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres of telefoonnummer achter.
- Dien de melding a.u.b. zo snel mogelijk in na ontdekking van de kwetsbaarheid.
De volgende handelingen zijn niet toegestaan:
- Het plaatsen van malware, noch op onze systemen noch op die van anderen.
- Het zogeheten “bruteforcen” van toegang tot systemen.
- Het gebruik maken van social engineering.
- Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het probleem is opgelost.
- Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u normaliter volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.
- Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd ((D)DoS-aanvallen).
- Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.
Wat u mag verwachten:
- Indien u aan alle bovenstaande voorwaarden voldoet, zullen wij geen strafrechtelijke aangifte tegen u doen en ook geen civielrechtelijke zaak tegen u aanspannen.
- Als blijkt dat u een bovenstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
- Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
- Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo borgen wij dat gemeenten hun ervaringen op dit vlak met elkaar delen.
- In onderling overleg kunnen we, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
- Wij sturen u binnen 1 werkdag een (automatische) ontvangstbevestiging.
- Wij reageren binnen 5 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
- In onderling overleg kan worden bepaald of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.
- De melder krijgt voor een valide melding in elk geval een vermelding in de Hall of Fame.
Coordinated Vulnerability Disclosure (EN)
The Municipality of ’s-Hertogenbosch prioritizes the security of its systems. Despite every precaution being taken, it is still possible that a weakness may be found in the systems. If you discover a weakness in one of our systems, please let us know, so that we can swiftly take appropriate action. By disclosing a vulnerability, you are the disclosing party and declare that you accept the below agreements concerning the Coordinated Vulnerability Disclosure, and the Municipality of ’s-Hertogenbosch will process your disclosure in accordance with the below agreements.
We ask you to do the following:
- To report your findings, fill out the digital contactform.
- Provide enough information to reproduce the problem, so that we can resolve it swiftly. Usually, the IP address or the URL of the system affected and a description of the vulnerability is sufficient, but in more complex vulnerabilities, more may be needed.
- We welcome any tips that will help us to resolve the issue. Please only provide verifiable facts concerning the vulnerability you have detected, and avoid giving advice which, in reality, amounts to advertising for specific security or other products.
- Provide contact details, so that we can get in touch with you to work together to restore security. As a minimum, provide an e-mail address or telephone number.
- Please submit the disclosure as soon as possible after discovering the vulnerability.
The following actions are not permitted:
- Placing malware on our systems or those of others.
- Brute force attacks to access systems.
- Using social engineering.
- Disclosing information about the security problem, or sharing such information with third parties, before the problem has been resolved.
- Doing anything more than is strictly necessary in order to flag and report the security issue. This applies in particular to processing (including viewing or copying) confidential data to which you gained access as a result of the vulnerability. Rather than copying an entire database, a directory listing, for instance, will normally suffice. Modifying or deleting data in the system is never permitted.
- Using techniques which impede the availability and/or usability of the system or services (DDoS and DoS attacks).
- Abusing the vulnerability in any way whatsoever.
What you can expect:
- If you satisfy all the above conditions, we will not bring criminal proceedings against you, or initiate a civil case.
- Should it become apparent that you have violated any of the above conditions, we may decide to take proceedings against you.
- We handle disclosures in confidence and do not share a disclosing party’s data with third parties without his or her consent, unless we are required by law or a court ruling to do so.
- We always share disclosures received with the Information Security Service of Dutch Municipalities (Informatiebeveiligingsdienst, IBD). This is to ensure that municipalities share their experiences in this area with each other.
- If you wish, we may agree to disclose your name as the person who discovered the reported vulnerability. In all other cases, you will remain anonymous.
- We will send you an automated acknowledgement of receipt within 1 working day.
- We respond to disclosures within 5 working days, with an assessment, or preliminary assessment, of the disclosure and, if appropriate, the date by which we expect to resolve the issue.
- We may agree with you whether, and when, the problem will be notified to the public, once it has been resolved.
- For a valid report, the reporter will in any event receive a mention in the Hall of Fame.
Niet gevonden wat je zocht?
Je kunt op verschillende manieren in contact komen met de gemeente ’s-Hertogenbosch.