Kwetsbaarheid melden
Embloom vindt het belangrijk dat haar ICT-systemen veilig zijn en wij streven een hoge beveiliging daarvan na. Embloom heeft daarvoor onder andere protocollen en procedures vastgelegd en laten certificeren in het kader van de informatiebeveiligingsnormen ISO 27001 en NEN 7510. Daarnaast laten wij ten minste eenmaal per jaar een penetratietest en/of security audit uitvoeren. Ondanks deze maatregelen, kan het toch gebeuren dat er een zwakke plek in één van de ICT-systemen van Embloom voorkomt.
Melden van kwetsbaarheden
Indien u een zwakke plek in één van de ICT-systemen van Embloom heeft gevonden, vernemen wij dit graag van u. Wij kunnen dan zo snel mogelijk de benodigde maatregelen treffen. Embloom wil graag met u samenwerken om de veiligheid van de ICT-systemen nog beter te kunnen waarborgen. Met het oog hierop voert Embloom onderstaand beleid, inzake de omgang met meldingen, van door u geconstateerde kwetsbaarheden in de ICT-systemen van Embloom.
Wij vragen u:
- Uw bevindingen te mailen naar security@embloom.nl of deze door te geven middels het formulier onderaan deze pagina.
- Voldoende informatie te geven om het probleem te kunnen reproduceren, zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn.
- Contactgegevens achter te laten, zodat wij contact met u kunnen opnemen om samen te werken aan een veilig resultaat. Laat minimaal een e-mailadres of telefoonnummer achter.
- De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
- De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
- Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem, door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
Vermijd in elk geval de volgende handelingen:
- Het plaatsen van malware.
- Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
- Het aanbrengen van veranderingen in het systeem.
- Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
- Het gebruik maken denial-of-service of social engineering.
Wat u mag verwachten:
- Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van Embloom aan bovenstaande voorwaarden voldoet, zal Embloom geen juridische consequenties verbinden aan deze melding.
- Embloom behandelt een melding vertrouwelijk en deelt persoonlijke gegevens, niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- In onderling overleg kan Embloom, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
- Embloom stuurt u uiterlijk de volgende werkdag een ontvangstbevestiging.
- Embloom reageert binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
- Embloom houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
- Embloom lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
Kwetsbaarheid melden: