Responsible Disclosure


Bij waterschap Aa en Maas vinden we de veiligheid van onze systemen en de gegevens die zich op die systemen bevinden belangrijk. We streven naar een hoog beveiligingsniveau. Jij kunt ons daarbij helpen.

Het kan onverhoopt voorkomen dat een van onze systemen een kwetsbaarheid bevat. Wanneer jij zo’n kwetsbaarheid in onze systemen ontdekt dan horen wij dat natuurlijk graag. Wij kunnen dan zo snel mogelijk maatregelen treffen om onze systemen weer veilig te maken. Het melden van een (mogelijke) kwetsbaarheid gaat via een 'Responsible Disclosure' procedure.

Wat vragen wij van jou?

  • Stuur je bevindingen versleuteld naar onze security partner, het CERT-WM. Versleutel deze gegevens met PGP of gebruik een ZIP bestand met een versleuteld wachtwoord. De contactgegevens van het CERT-WM zijn:
    CERT-WM
    cert@hetwaterschapshuis.nl
    Mobiel: +31651256522
  • Vermeld voldoende gegevens zodat we contact met je op kunnen nemen. Vermeld minimaal jouw e-mailadres en bij voorkeur je telefoonnummer.
  • Vermeld voldoende gegevens zodat wij de kwetsbaarheid kunnen verifiëren en het probleem kunnen reproduceren. Denk hierbij aan betreffende URL’s en IP adressen.
  • Misbruik de kwetsbaarheid niet door data te downloaden, veranderen of verwijderen.
  • Deel de kwetsbaarheid niet met anderen tot het is opgelost en wis alle eventueel vertrouwelijk verkregen data.
  • Maak geen gebruik van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.

Misschien doe je tijdens je onderzoek iets wat volgens de wet niet mag. Als je zorgvuldig, vertrouwelijk en volgens de bovenstaande spelregels handelt dan verbinden we geen juridische consequenties aan je melding.

Wat kun je van ons verwachten?

  • Je ontvangt van het CERT-WM binnen 3 werkdagen een ontvangstbevestiging van je melding.
  • Het CERT-WM reageert uiterlijk binnen 30 werkdagen inhoudelijk op je melding. Hierin staat ook een verwachte datum voor een oplossing.
  • We houden je de hoogte, indien gewenst, van de voortgang van het oplossen van het probleem.
  • In eventuele berichtgeving over het gemelde probleem noemen we, indien gewenst, jouw naam als ontdekker.
  • We behandelen jouw melding vertrouwelijk en delen persoonlijke gegevens niet zonder jouw toestemming met derden tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Je ontvangt als dank voor je hulp een passende / ludieke beloning (nooit in geldelijke vorm). De aard en grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.

Vragen? Wij helpen je graag!