Responsible disclosure

RSR voert de digitale administratie van het studentenreisproduct en vindt het essentieel dat de systemen veilig zijn. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er in onze systemen een zwakke plek wordt gevonden. Daarvoor is ons responsible disclosure-beleid opgesteld.

Als je een zwakke plek in één van onze systemen hebt gevonden, dan horen wij dit graag zo snel mogelijk. Dan kunnen we direct maatregelen treffen om de gevonden kwetsbaarheid te verhelpen. Wij willen graag met je samenwerken om op een verantwoorde manier met de gevonden kwetsbaarheden om te gaan. En daarmee onze systemen beter te beschermen.

Wat vragen wij aan jou?

  • Je bevindingen op een veilige wijze te mailen naar RD@svov.nu (responsible disclosure) om te voorkomen dat de informatie in verkeerde handen valt;
  • Je melding zo snel mogelijk na de ontdekking van de kwetsbaarheid te doen;
  • De kwetsbaarheid niet te misbruiken door meer data te downloaden om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen;
  • De kwetsbaarheid niet met anderen te delen totdat het is opgelost. En alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen;
  • Geen aanvallen te doen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden;
  • Voldoende informatie te geven om de kwetsbaarheid te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer nodig zijn.

Wat mag je van ons verwachten?

Wij:

  • reageren binnen drie dagen op je melding met onze beoordeling en een verwachte datum voor een oplossing;
  • behandelen je melding vertrouwelijk en delen je persoonlijke gegevens niet met derden zonder jouw toestemming, tenzij het noodzakelijk is om een wettelijke verplichting na te komen. Meldingen onder pseudoniem zijn mogelijk, maar wij vragen je toch om minimaal een e-mailadres achter te laten. Dit zodat wij contact met je kunnen opnemen;
  • houden je op de hoogte van de voortgang van het oplossen van de kwetsbaarheid;
  • vermelden in berichtgeving over de gemelde kwetsbaarheid, indien je dit wenst, jouw naam als de ontdekker ervan;
  • bieden als dank voor je hulp een beloning voor elke melding van een ons nog onbekende kwetsbaarheid. De grootte van de beloning bepalen wij op basis van de ernst van de kwetsbaarheid en de kwaliteit van de melding, met een minimum van een waardebon van €50. Als het gaat om een kwetsbaarheid met een laag of geaccepteerd risico, dan kunnen wij besluiten een melding niet te belonen. Enkele voorbeelden van dergelijke kwetsbaarheden: HTTP 404-codes of andere niet HTTP 200-codes, publiek toegankelijke bestanden en mappen met niet-gevoelige informatie, clickjacking op pagina’s zonder inlogfunctie, cross-site request forgery (CSRF) op formulieren die anoniem toegankelijk zijn, ontbreken van ‘secure’- of ‘HTTP Only’-vlaggen op niet-gevoelige cookies, ontbreken van SPF-, DKIM- en DMARC-records, ontbreken van één of meerdere van de volgende HTTP Security Headers: Strict-Transport-Security (HSTS), HTTP Public Key Pinning (HPKP), Content-Security-Policy (CSP), X-Content-Type-Options, X-Frame-Options, X-WebKit-CSP en X-XSS-Protection;
  • nemen geen juridische stappen betreffende de melding als je je aan bovenstaande voorwaarden hebt gehouden;
  • streven ernaar om alle problemen zo snel mogelijk op te lossen. Wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.