RESPONSIBLE DISCLOSURE
Heeft u een zwakke plek in een ICT-systeem of website van finact ontdekt, meld deze kwetsbaarheid dan zo spoedig mogelijk aan ons. Doe de melding voordat u de kwetsbaarheid aan de buitenwereld kenbaar maakt zodat wij tijdig de nodige maatregelen kan treffen. Dit principe heet responsible disclosure.
Melding doen
Wanneer u een zwakke plek in een ICT-systeem heeft ontdekt, vragen wij het volgende van u: Verstuur de melding zo snel mogelijk na ontdekking van de kwetsbaarheid. Deel informatie over het beveiligingsprobleem niet met anderen totdat het probleem is opgelost. Geef informatie over hoe en wanneer de kwetsbaarheid of storing zich voordoet. Beschrijf ook duidelijk hoe dit probleem gereproduceerd kan worden. Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan wat nodig is om het beveiligingsprobleem aan te tonen. Maak geen misbruik van de zwakke plek en bewaar geen vertrouwelijke gegevens die zijn verkregen via de kwetsbaarheid in het systeem. Laat contactgegevens (e-mailadres of telefoonnummer) achter zodat wij contact met u kunnen opnemen over de status van de storing. Voldoet u bij uw melding aan deze voorwaarden dan verbinden wij geen juridische consequenties aan de melding.
Wat doen wij
Wanneer u melding doet van een zwakke plek in een ICT-systeem, dan behandelen wij deze als volgt: U krijgt binnen twee werkdagen na het doen van de melding een ontvangstbevestiging van ons. Binnen drie werkdagen na de ontvangstbevestiging ontvangt u een reactie met daarin een beoordeling van de melding en de verwachte datum van de oplossing. Tussentijds wordt u op de hoogte gehouden over de voortgang van het oplossen van het probleem. Wij behandelen uw melding vertrouwelijk en zal uw gegevens nooit zonder uw toestemming met derden delen, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is. Wij zullen samen met u bepalen of en hoe over het gemelde probleem wordt bericht. Berichtgeving vindt pas plaats nadat het probleem is opgelost. In de berichtgeving over het gemelde probleem zullen wij, indien gewenst, uw naam vermelden als ontdekker. Als dank voor het melden stellen wij een beloning beschikbaar. De hoogte van de beloning wordt doorons bepaald op basis van de ernst en omvang van het gemelde probleem. Het hiervoor beschreven beleid is gebaseerd op de leidraad voor Responsible Disclosure van het Nationaal Cyber Security Centrum.