Melden van misbruik, zwakke plekken en beveiligingslekken in onze computersystemen

Hoffmann Bedrijfsrecherche B.V. streeft naar de beste beveiliging van haar computersystemen. Alle aan ons toevertrouwde gegevens beveiligen we zo goed mogelijk. We vinden het belangrijk dat ieders privacy gewaarborgd is. Ondanks alle zorg en inzet kunnen er onveilige situaties ontstaan. Bijvoorbeeld als er een zwakke plek in de beveiliging van onze systemen zit. Als u vermoedt dat ons netwerk misbruikt wordt of dat zich een ander veiligheidsprobleem voordoet, stellen we het op prijs dat u contact met ons zoekt volgens het beleid van responsible disclosure, dat u hieronder vindt. Alvast bedankt voor uw medewerking!

Responsible disclosure

Vindt u een zwakke plek in onze systemen? Of ontvangt u bijvoorbeeld e-mails die van ons lijken te zijn maar dat niet zijn? Dan zou het fijn zijn als u ons daarvan op de hoogte stelt. Hieronder staat hoe beschreven hoe u dit kunt doen. We vragen u om zich aan dit beleid ten aanzien van responsible disclosure te houden. Uiteraard mag u van ons ook verwachten dat wij dit ook doen.

Kwetsbaarheiden in de ICT-systemen van Hoffmann Bedrijfsrecherche BV

Wij horen het uiteraard graag zo snel mogelijk als u onverhoopt een kwetsbaarheid in onze ICT-systemen ontdekt. We kunnen dan direct de benodigde maatregelen treffen.

We vragen u om:

  • de kwetsbaarheid zo snel mogelijk nadat u deze ontdekt heeft, aan ons door te geven via info@hoffmannbv.nl.
  • voldoende informatie te geven met betrekking tot het probleem, zodat wij de kwetsbaarheid zo snel mogelijk kunnen wegnemen. Meestal is het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende. Enkel bij zeer complexe kwetsbaarheden kan meer informatie nodig zijn.
  • contactgegevens (zoals een e-mailadres of telefoonnummer) door te geven, opdat wij met u in contact kunnen komen. We kunnen dan samen toewerken naar een veilige oplossing.
  • de informatie over het beveiligingsprobleem niet met anderen te delen totdat het probleem is verholpen.
  • verantwoordelijk om te gaan met de kennis van het beveiligingsprobleem. Verricht daarom geen handelingen die verder gaan dan noodzakelijk is om het probleem aan te tonen.


We verwachten dat u geen:

  • social engineering gebruikt om toegang te krijgen tot de systemen.
  • eigen backdoor in een informatiesysteem plaatst om vervolgens daarmee de kwetsbaarheid aan te tonen, aangezien daarmee aanvullende schade kan worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
  • kwetsbaarheid verder uitnut dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • gegevens van het systeem kopieert, wijzigt of verwijdert. U kunt wel een directorylisting of een screenshot maken.
  • veranderingen in het systeem aanbrengt.
  • toegang tot het systeem deelt met anderen.
  • gebruikmaakt van het zogenaamde bruteforcen van toegang tot onze systemen.

Wat kunt u van ons verwachten?

 
  • Als uw melding aan de genoemde voorwaarden voldoet, verbinden wij geen juridische consequenties aan uw melding. Wij behandelen uw melding discreet. We delen zonder uw toestemming geen persoonlijke gegevens met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Wij sturen u na ontvangst van de melding zo snel mogelijk een ontvangstbevestiging.
  • Wij reageren binnen een week na de melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij doen er alles aan om het door u geconstateerde beveiligingsprobleem binnen een redelijke termijn op te lossen en we houden u op de hoogte van de voortgang.
  • We bepalen samen met u wanneer en op welke wijze over het veiligheidsprobleem wordt gepubliceerd. In dit onderling overleg wordt ook bepaald of uw naam vermeld wordt.
  • Blijkt het om een serieus beveiligingsprobleem te gaan? Dan ontvangt u als dank voor uw melding een ludieke beloning in de vorm van een ‘I hacked Hoffmann’-shirt. Er is geen sprake van een geldelijke beloning.


Deze tekst is opgesteld op basis van de leidraad van het Nationaal Cyber Security Centrum.