Beleid Responsible Disclosure Provincie Zeeland

Bij de Provincie Zeeland vinden wij de veiligheid van onze systemen erg belangrijk. Ondanks onze zorg voor de beveiliging kan het voorkomen dat er toch een zwakke plek is. Als u een zwakke plek in één van onze systemen heeft gevonden horen wij dit graag zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze systemen beter te kunnen beschermen.  

Wij vragen u:

  • Om de melding van de kwetsbaarheid in algemene bewoordingen te mailen naar  servicedesk@zeeland.nl. Vervolgens kunnen wij u een link sturen naar onze beveiligde voorziening. Hiermee kunt u vertrouwelijke informatie en eventuele schermafbeeldingen uploaden.
  • Voldoende informatie te geven om het probleem te reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Contactgegevens achter te laten zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal een email adres of telefoonnummer achter.
  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
  • Voor wat betreft het melden van kwetsbaarheiden terughoudend te zijn met . Dit mag niet het primaire doel zijn van de melding. 

Vermijd dus in elk geval de volgende handelingen:

  • Het plaatsen van malware.
  • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  • Het aanbrengen van veranderingen in het systeem.
  • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  • Het gebruik maken van het zogeheten “bruteforcen” om toegang tot systemen te verkrijgen.
  • Het gebruik maken van (distributed) denial-of-service of social engineering.

Wat u mag verwachten:

  • Indien u zich heeft gehouden aan alle bovenstaande voorwaarden, zullen wij geen juridische consequenties verbinden aan de melding en de hack(poging).
  • Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens niet zonder toestemming van u met , tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kunnen we, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • Wij sturen u binnen 1 werkdag een ontvangstbevestiging.
  • Wij reageren binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.
  • Wij lossen het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
  • De Provincie Zeeland biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van een relatiegeschenk tot cadeaubonnen. Het moet hierbij wel gaan om een voor de Provincie Zeeland nog onbekend en serieus beveiligingsprobleem.