Digitale klokkenluidersregeling

Responsible disclosure procedure

Driessen vindt de veiligheid van haar systemen erg belangrijk en werkt daarom elke dag aan het verbeteren hiervan. Toch blijft het mogelijk dat er een zwakke plek in de systemen te vinden is. Als je een zwakke plek ontdekt, vernemen we dit graag, zodat we direct maatregelen kunnen treffen.

Door het maken van een melding verklaar je akkoord te zijn met onderstaande afspraken. Driessen zal je melding volgens afspraak afhandelen.

Wat vraagt Driessen van je?

  • Mail je bevindingen naar security@driessen.nl.
  • Geef voldoende informatie bij de melding, waaronder:
    - het IP-adres of de URL van het getroffen systeem;
    - uitleg in de vorm van een stappenplan over hoe we het probleem kunnen reproduceren;
    - eventuele screenshots.
  • Voorzie je melding van je contactgegevens zodat we contact met je kunnen opnemen bij eventuele vragen.
  • Meld een beveiligingslek zo snel mogelijk na ontdekking.
  • Beveilig je eigen systemen zo goed mogelijk.
  • Maak het beveiligingsprobleem niet openbaar voordat het is opgelost.

Welke acties zijn niet toegestaan?

  • Het bekijken of downloaden van gegevens van iemand anders dan jouzelf.
  • Het toevoegen, wijzigen of verwijderen van gegevens in onze systemen.
  • Het misbruik maken van zwakheden die je ontdekt.
  • Het systeem vaker binnen dringen dan nodig.
  • Het delen van verkregen informatie met derden.
  • Het aanbrengen van systeemveranderingen.
  • Het gebruikmaken van brute force, ofwel het uitproberen van alle mogelijkheden om een systeem binnen te kunnen dringen.
  • Het gebruikmaken van social engineering, ofwel via een persoon ons systeem binnendringen.
  • Het uitvoeren van een (distributed) DoS-aanval op onze services of systemen.
  • Het bewust versturen, uploaden, linken naar of plaatsen van malware.
  • Het testen op een manier waarmee je andere mensen lastig valt. Denk aan het laten versturen van spammail.

Wat kan je van Driessen verwachten?

  • Je melding wordt onderzocht. Binnen 2 werkdagen nemen we contact met je op om de door jou gevonden zwakheden door te nemen. We horen graag hoe je deze hebt gevonden en bespreken de vervolgacties die we ondernemen.
  • We lossen het door jou gemelde beveiligingsprobleem zo snel mogelijk op.
  • We gaan ervan uit dat je je aan bovenstaande regels houdt. Als blijkt dat je bovenstaande regels hebt geschonden, kunnen we aangifte tegen je doen.
  • We behandelen de door jou verkregen informatie vertrouwelijk en delen je persoonlijke gegevens niet zonder jouw toestemming, behoudens de wet.
  • We kunnen een beloning uitloven van maximaal €500,-. De hoogte van de beloning staat niet van te voren vast en is afhankelijk van de aard van de melding.