CVD-beleid Freshheads

Wanneer een kwetsbaarheid een risico vormt voor de beveiliging van onze website of de door ons ontwikkelde digitale diensten, kun je deze bij ons melden. Voorbeelden hiervan zijn de mogelijkheid om een login-formulier te omzeilen of onbedoelde manieren om toegang te krijgen tot een database met persoonsgegevens. Er zijn ook afwijkingen die niet belangrijk zijn en daarom ook niet bij ons gemeld hoeven te worden, denk hierbij aan:

• Een afwijking die geen impact heeft op de beschikbaarheid, integriteit of vertrouwelijkheid van informatie.

• De mogelijkheid tot cross-site scripting op een statische website of op een website waarop geen gevoelige (gebruikers)informatie wordt verwerkt.

• De beschikbaarheid van versie-informatie via bijvoorbeeld een info.php-bestand. Een mogelijke uitzondering hierop is wanneer uit de versie-informatie blijkt dat het systeem gebruikmaakt van software met bekende kwetsbaarheden.

• De afwezigheid van HTTP security headers zoals gebruikt door onder andere Cross-Origin Resource Sharing (CORS), tenzij deze afwezigheid aantoonbaar tot een beveiligingsprobleem leidt.

Bij twijfel na het lezen van bovenstaande uitzonderingen mag je de afwijking altijd bij ons melden. We kijken dan eerst of de afwijking gezien kan worden als kwetsbaarheid en pakken het vanuit daar verder op. Better safe than sorry.

Volg voor het maken van een melding de volgende stappen:

1. Stuur een mail naar security@freshheads.com met daarin je bevindingen. Maak hierbij eventueel gebruik van onze PGP-key om de melding extra te versleutelen.

2. Probeer de melding zo duidelijk mogelijk te beschrijven zodat ons security-team zo snel mogelijk aan de slag kan. Meestal is een specifiek IP-adres en/of URL samen met een beschrijving voldoende, maar hoe meer info, des te beter. Waar nodig nemen we graag nog extra contact met je op.

3. Laat tenminste een e-mailadres of telefoonnummer achter zodat we met je in contact kunnen komen bij vragen. Bij voorkeur communiceren we via e-mail.

Zorg ervoor dat:

• Je de melding zo snel mogelijk bij ons doet na het ontdekken van de kwetsbaarheid.

• Je geen informatie over het beveiligingsprobleem deelt met anderen tot wij aangeven dat het kan of tot het probleem is verholpen

• Je verantwoordelijk omgaat met jouw kennis over het beveiligingsprobleem, bijvoorbeeld door niet verder te gaan dan noodzakelijk om het probleem aan te tonen.

Wij willen je vragen om de volgende dingen expliciet niet te doen wanneer je een kwetsbaarheid probeert aan te tonen of hebt ontdekt:

• Plaatsen van malware

• Kopiëren, wijzigen of verwijderen van gegevens in een systeem

• Aanbrengen van veranderingen in het systeem

• Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen

• Gebruikmaken van 'brute force' om toegang tot een systeem te verkrijgen.

• Gebruikmaken van denial-of-service of 'social engineering'.

Wij behandelen jouw melding vertrouwelijk en delen persoonlijke gegevens nooit met derden zonder jouw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is. Als de melding volgens bovengenoemde procedure uitgevoerd wordt, hebben wij geen reden om juridische consequenties te verbinden aan jouw melding.

Binnen één werkdag krijg je een bevestiging van ontvangst. Daarna ontvang je binnen 5 werkdagen een inhoudelijke reactie op jouw melding inclusief de mogelijke vervolgstappen aan onze kant. Daarna spreken we samen af hoe we je op de hoogte houden van de oplossing. Wij nemen beveiliging heel serieus en streven ernaar om kwetsbaarheden zo snel mogelijk en in ieder geval binnen één maand op te lossen.

Dit is afhankelijk van het type kwetsbaarheid, binnen welk systeem het is ontdekt en de mogelijke negatieve impact. Hier hebben we (nog) geen vast beleid voor, maar ook hier komen we in goed overleg uit. Denk hierbij aan beloningen in de vorm van een t-shirt, cadeaubon, geldbedrag of publieke erkenning.