Responsible Disclosure

English version
Op de Hall of Fame pagina bedanken wij mensen die een kwetsbaarheid in onze internetbeveiliging hebben geconstateerd en die dat op een verantwoorde wijze hebben gemeld.

‘Verantwoord’ wil zeggen dat zij hebben gehandeld volgens ons Responsible Disclosure beleid (zie hieronder). Wij zijn hen dankbaar, omdat we met hun meldingen onze beveiliging verder kunnen verbeteren.

DutchDare International vindt het essentieel dat de ICT-systemen van ons en onze providers veilig zijn en streeft een hoge beveiliging daarvan na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt.

Kwetsbaarheden in ICT-systemen van Dutch Dare International en haar service providers

Indien je een zwakke plek in één van de ICT-systemen van Dutch Dare International hebt gevonden, horen wij dit graag. Zo kunnen wij zo snel mogelijk de benodigde maatregelen nemen om de gevonden kwetsbaarheid te verhelpen.

DutchDare International hanteert voor dergelijke meldingen de zogenaamde ‘Responsible disclosure’ principes. Dat betekent dat als jij verantwoord met de kwetsbaarheid om zult gaan (zoals hieronder beschreven), Dutch Dare International daar iets tegenover stelt. Zoals vermelding op de Hall of Fame-pagina.

Hieronder staan de afspraken die melder en Dutch Dare International zullen hanteren:

DutchDare International vraagt:

De bevindingen te mailen naar security@dutchdare.nl. Versleutel de bevindingen indien mogelijk om te voorkomen dat de informatie in verkeerde handen valt. Je vindt hier de Public PgP Key

Voldoende informatie geven om het probleem te reproduceren, zodat het zo snel mogelijk kan oplost worden. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.

Juiste contactgegevens achter te laten, zodat wij in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal naam, een email adres en/of telefoonnummer achter.

Schriftelijk te bevestigen dat je conform deze ‘Responsible Disclosure’ hebt gehandeld en zult blijven handelen.

De informatie over het beveiligingsprobleem niet met anderen te delen.

Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.


Vermijd dus in elk geval de volgende handelingen:

Het plaatsen van malware.

Het kopiëren, wijzigen of verwijderen van gegevens in een systeem.

Het aanbrengen van veranderingen in het systeem.

Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.

Het gebruikmaken van geautomatiseerde scantools.

Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.

Het gebruik maken denial-of-service of social engineering.

Wat JIJ mag verwachten van DutchDare International:

Indien je bij de melding van een geconstateerde kwetsbaarheid in een ICT-systeem aan bovenstaande voorwaarden voldoet, zal de DutchDare International geen juridische consequenties verbinden aan deze melding.

DutchDare International behandelt een melding strikt vertrouwelijk en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.

In onderling overleg kan DutchDare International, je naam vermelden als de ontdekker van de gemelde kwetsbaarheid, bijvoorbeeld op de Hall of Fame-pagina.

DutchDare International vraagt je schriftelijk te bevestigingen dat je conform deze ‘Responsible Disclosure’ hebt gehandeld en zult blijven handelen, en vraagt om je contactgegevens voor zover die nog niet bekend waren.

DutchDare International houdt de melder op de hoogte over de beoordeling van de melding en de voortgang van het oplossen van het probleem.

DutchDare International lost het door jouw geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk op.

Kwetsbaarheden in ICT-systemen van derden

Voor systemen van andere eigenaren/beheerders en of leveranciers verzoeken wij je in eerste instantie de organisatie zelf te benaderen. Indien de organisatie niet of niet goed reageert, stel dan direct DutchDare International op de hoogte. Hierbij zullen wij een rol als intermediair op ons nemen om gezamenlijk tot een resultaat te komen.

Voor meldingen over systemen van derden

DutchDare International reageert binnen drie werkdagen op een melding door contact op te nemen met de eigenaar en jou een reactie te geven.
Is de eigenaar primair verantwoordelijk om de melder op de hoogte te houden van de voortgang van het oplossen van het probleem.
Vraagt DutchDare International je om ons informatie door te geven of en hoe er al contact is geweest met de organisatie.