Wat is Responsible Disclosure?

Wij vinden de beveiliging van onze producten en applicaties belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Mocht je zo’n zwakke plek vinden, dan horen we dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen.

Wat wij in dat geval van je vragen:

• Geef je bevindingen zo snel mogelijk aan ons door, dat kan via e-mail. Stuur een e-mail naar beveilging@kjsoftware.nl.
• Ga het probleem niet misbruiken. Download bijvoorbeeld niet méér gegevens dan nodig zijn om het lek aan te tonen. Verwijder of verander daarbij ook geen gegevens, zeker niet van anderen.
• Gebruik geen tools die overlast veroorzaken, zoals security scanners of ddos-tools.
• Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, spam of distrubuted denial of service.
• Maak het probleem niet openbaar en deel het niet met anderen totdat het is opgelost.
• Wis eventueel verkregen (vertrouwelijke) gegevens zo snel mogelijk.
• Geef ons voldoende informatie om het probleem te kunnen oplossen. Daarbij is de url en/of het ip-adres van de het getroffen applicatie, onderdeel, of dienst, aangevuld met een korte beschrijving meestal voldoende. Het kan geen kwaad om dat aan te vullen met stappen om een en ander te reproduceren en/of screenshots om het probleem te illustreren.

Wat wij jou beloven:

• We reageren binnen drie werkdagen op je melding met onze beoordeling en, voor zover nodig, de verwachte oplostermijn.
• We zijn ons ervan bewust dat je bij het onderzoek naar een probleem wellicht handelingen hebt verricht die strafbaar zijn. Als je te goeder trouw en volgens deze voorwaarden hebt gehandeld, is er voor ons geen aanleiding om aangifte te doen.
• We houden je op de hoogte van de voortgang van het oplossen van het probleem.
• Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
• De meeste meldingen die we ontvangen zijn klein van aard. Daarnaast komen veel meldingen van melders die geen band met KJ Software hebben, vaak uit Azië of het Midden-Oosten. Daarom besteden we alleen publieke aandacht aan uitzonderlijke meldingen. Bijvoorbeeld bij bijzondere of grote problemen, als de melding van een mede-KJ-er kwam en (uiteraard) als er een meldplicht geldt.
• Voor meldingen van ons onbekende problemen geven we mogelijk een beloning. De grootte van die beloning bepalen we aan de hand van de ernst van het lek en de kwaliteit van de melding. De beloning kan naar onze keuze bijvoorbeeld bestaan uit een eervolle vermelding, KJ-goodies, een of meer cadeautjes en/of een geldbedrag.

Nog wat uitzonderingen en punten van aandacht:

• De beloningen worden niet gegeven voor meldingen over problemen op sites en systemen van derden.
• Dit is geen uitnodiging om uitgebreid onze site te scannen; dat levert ons overlast op.
• (D)DOS, fysieke beveiliging en social engineering vallen buiten deze bepalingen.
• We keren geen beloning uit voor reeds bekende of reeds opgeloste problem.