Responsible Disclosure Policy
English version
Versie 1.1
SOMI (Stichting Onderzoek Marktinformatie) vindt het belangrijk dat haar informatie en systemen veilig zijn.
Ondanks onze zorg voor de beveiliging van deze systemen kan het voorkomen dat er toch een kwetsbaarheid is.
Als u een kwetsbaarheid in één van onze systemen heeft gevonden, dan horen wij dit graag zodat wij zo snel als mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om ons publiek en onze systemen beter te kunnen beschermen.
Daarom hebben wij gekozen voor een beleid van gecoördineerde bekendmaking van kwetsbaarheden (ook gekend als ‘Responsible Disclosure Policy’), zodat u ons kan informeren wanneer u een kwetsbaarheid ontdekt.
Deze Responsible Disclosure Policy is van toepassing op alle systemen van SOMI. Bij elke twijfel vragen we om contact op te nemen om duidelijkheid te verkrijgen via security@somi.nl
Wat wij van u vragen
Als u een kwetsbaarheid ontdekt in één van onze systemen, vragen wij u:
- • De kwetsbaarheid zo snel mogelijk na de ontdekking te melden. Mail uw bevindingen naar security@somi.nl
- o Kwetsbaarheden kunnen tevens op een veilige manier gemeld worden via de ‘report privacy violations’ feature in de SOMI App.
- • Voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- • Uw contactgegevens achter te laten, zodat SOMI met u in contact kan treden om samen te werken aan een veilig resultaat. Laat minstens uw naam, e-mailadres en/of telefoonnummer achter. Melden onder een pseudoniem is mogelijk, maar zorg ervoor dat wij u kunnen contacteren als wij bijkomende vragen hebben.
- • Te bevestigen dat u conform deze Responsible Disclosure Policy hebt gehandeld en zult blijven handelen
Regels die u dient na te leven
De kwetsbaarheid niet openbaar te maken totdat wij de kwetsbaarheid hebben kunnen corrigeren. Zie hieronder voor eventuele publicatie achteraf.
De kwetsbaarheid niet te misbruiken door onnodig data te kopiëren, te verwijderen, aan te passen of in te kijken. Of door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen.
De volgende handelingen niet toe te passen:
- • Het plaatsen van malware (virus, worm, Trojaans paard enz.).
- • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem.
- • Het aanbrengen van veranderingen in het systeem.
- • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- • Het gebruik maken van geautomatiseerde scantools.
- • Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
- • Het gebruik maken van denial-of-service of social engineering (phishing, vishing, spam, ...).
- • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
- • Alle gegevens die zijn verkregen via de kwetsbaarheid meteen te wissen na de melding.
- • Geen handelingen uit te voeren die een mogelijke impact kunnen hebben op de goede werking van het systeem, zowel naar beschikbaarheid als naar performantie toe, maar ook naar confidentialiteit en integriteit van de data toe.
Severity | Base Score Range | Bug Bounty |
Geen | 0.0 | €0,00 |
Laag | 0.1-3.9 | €0,00 |
Medium | 4.0-6.9 | €25,00 |
Hoog | 7.0-8.9 | €50,00 |
Kritek | 9.0-10.0 | €100,00 |