Responsible Disclosure

Bij het Hoogheemraadschap van Delfland vinden we de veiligheid van onze systemen en de gegevens die zich op die systemen bevinden erg belangrijk. Jij kunt ons daarbij helpen.

We werken continue aan het in stand houden en verbeteren van deze veiligheid. Toch kan het dat er kwetsbaarheden in onze systemen voorkomen. Wanneer jij zo’n kwetsbaarheid in onze systemen ontdekt dan horen wij dat natuurlijk graag. Wij kunnen dan zo snel mogelijk maatregelen treffen om onze systemen weer veilig te maken.

Wij vragen je:

  • Bevindingen versleuteld te mailen naar CERT-WM. Hiervoor kun je PGP gebruiken, of een beveiligd 7zip bestand. Contactgegevens CERT-WM: e-mail: .
  • De kwetsbaarheid niet te misbruiken door data te downloaden, te veranderen of verwijderen.
  • De kwetsbaarheid niet met anderen te delen tot het is opgelost en alle, eventueel door jou verkregen, vertrouwelijke gegevens te wissen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Van ons kun je verwachten:

  • Dat wij binnen 3 werkdagen een ontvangstbevestiging van uw melding sturen.
  • Dat wij binnen 30 dagen inhoudelijk op uw melding reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Dat wij, betreffende de melding, geen juridische stappen tegen jou ondernemen, als je aan de bovenstaande voorwaarden hebt gehouden.
  • Dat wij jouw melding vertrouwelijk zullen behandelen en persoonlijke gegevens niet zonder jouw toestemming met derden zullen delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Dat wij jou op de hoogte houden van de voortgang van het oplossen van het probleem.
  • Dat wij in berichtgeving over het gemelde probleem, indien je dit wenst, jouw naam zullen vermelden als de ontdekker.
  • Dat wij jou als dank voor je hulp een passende beloning zullen aanbieden voor elke melding van een bij ons nog onbekend beveiligingsprobleem op onze systemen. De aard en grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.

 
Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.