Responsible Disclosure

 

Wij vinden het bij PinkWeb zeer belangrijk dat accountants en hun cliënten ervan op aan kunnen dat hun gegevens op een passende wijze worden beschermd. Mocht je onverhoopt toch een probleem in onze software vinden dan horen wij dit graag. Dit responsible disclosure beleid van PinkWeb is overigens geen vrijbrief om onze software uitgebreid te gaan testen om problemen te ontdekken.

Het gebruik van tools die onder meer overlast voor onze klanten kunnen veroorzaken of de software laten crashen, zoals security scanners, ddos-tools, brute force technieken, fysieke beveiliging, social engineering, hacking of vulnerability tools beschouwen wij niet als een werkwijze die past binnen een responsible disclosure. Meldingen van problemen die op deze wijze zijn ontdekt vallen dan ook niet onder dit responsible disclosure beleid.

Pinkweb.nl en eventuele subdomeinen vallen buiten de scope van dit responsible disclosure beleid.

Pinkweb.nl and any sub-domains are outside the scope of this responsible disclosure policy.

Wat wij in dat geval van je vragen:

  • Geef je bevindingen zo snel mogelijk na het ontdekken van de zwakke plek aan ons door, dat kan op verschillende manieren:
    – mail naar security@pinkweb.nl;
    – telefonisch, vraag dan naar Harmen Thiewes (Security Officer);
    – per post, zie daarvoor onze contactpagina.
  • Ga niet verder dan nodig is om het probleem aan te tonen. Dus misbruik het probleem niet door bijvoorbeeld meer gegevens te downloaden dan nodig is of door gegevens te verwijderen of veranderen.
  • Maak het probleem niet openbaar en deel het niet met anderen totdat wij het opgelost hebben.
  • Wis eventueel verkregen (vertrouwelijke) gegevens zo snel mogelijk.
  • Geef ons voldoende informatie om het probleem te kunnen oplossen. Daarbij is de url en/of het ip-adres van het getroffen onderdeel, aangevuld met een korte beschrijving meestal voldoende. Het kan geen kwaad om dat aan te vullen met stappen om een en ander te reproduceren en/of screenshots om het probleem te illustreren.
  • In berichtgeving over de gemelde probleem zullen wij, indien je dit wenst, jouw naam vermelden als de ontdekker.

 

Met jouw toestemming kun je een eervolle vermelding in onze Hall of Fame krijgen.

Wat kun je van ons verwachten:

  • We reageren binnen drie werkdagen op de melding en geven dan een eerste reactie m.b.t. de verwachte oplostermijn en hoe wij de ernst van het probleem inschatten.
  • We zijn ons ervan bewust dat je bij het onderzoek naar het probleem wellicht handelingen hebt verricht die strafbaar zijn. Wanneer je te goeder trouw en volgens dit responsible disclosure beleid hebt gehandeld is er voor ons in beginsel geen aanleiding om aangifte te doen.
  • We houden je op de hoogte van de voortgang van een mogelijke oplossing voor het gemelde probleem.
    We zullen je melding vertrouwelijk behandelen en zullen je gegevens niet zonder toestemming met derden delen, tenzij dit noodzakelijk is voor het doen van aangifte of indien deze worden gevraagd door een bevoegde autoriteit.

 

Met jouw toestemming kun je een eervolle vermelding in onze Hall of Fame krijgen.