Responsible Disclosure

Voor Alert Online is de veiligheid van de site hele belangrijk. Ondanks onze zorg voor de beveiliging van deze site kan het voorkomen dat er toch een zwakke plek is of is ontstaan. Heeft u een zwakke plek gevonden? Laat het ons weten.

Heeft u een zwakke plek in alertonline.nl gevonden?
Bent u er bijvoorbeeld per ongeluk tegenaan gelopen bij het normale gebruik van deze site? Of heeft u expliciet uw best gedaan om een zwakke plek te vinden? Laat het ons weten zodat we zo snel mogelijk maatregelen kunnen nemen. We nemen uw melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken. We werken graag met u samen om de veiligheid van deze site nog beter te maken. Dit is overigens geen uitnodiging om deze site uitgebreid te scannen en te testen om zwakke plekken te vinden. Dat doen we zelf.

We vragen u:

- Uw bevindingen zo snel mogelijk te mailen naar alertonline@ecp.nl.
- Daarbij voldoende informatie te geven zodat wij het probleem kunnen reproduceren om het snel op te lossen. Meestal is het IP-adres of de URL, een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer informatie nodig zijn.
- Geen test uit te voren die gebruik maken van aanvallen op fysieke beveiliging, social engineering of applicaties van derden.
- Geen brute force of denial of service uit te voeren.
- De zwakke plek niet te misbruiken door gegevens te veranderen of te verwijderen of door het plaatsen van malware.
- Het probleem ook niet met andere te delen totdat we het hebben opgelost.
- Geen gegevens van onze systemen te kopiëren, anders dan absoluut noodzakelijk om het lek aan te tonen.
- Contactgegevens (e-mailadres en liefst ook telefoonnummer) aan ons door te geven zodat we contact met u kunnen opnemen om samen te werken aan een veilig resultaat.

Wij beloven:

- Binnen drie werkdagen te reageren op uw melding met de beoordeling van de melding en zo mogelijk een verwachte datum voor een oplossing.
- Dat een toevallige ontdekking in onze online omgeving niet tot aangifte tegen u zal leiden zolang u zich aan de spelregels houdt en u in de geest van responsible disclosure gedraagt.
- Uw melding vertrouwelijk te behandelen: we delen uw persoonlijke gegevens niet zonder uw toestemming. We maken hier alleen een uitzondering wanneer politie of justitie de gegevens opeist of in geval van aangifte.
- U op de hoogte te houden van onze vorderingen om het probleem op te lossen.
- Dat u als dank bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingslek. De grootte van deze beloning hangt af van de ernst van het lek en de kwaliteit van de melding, tot een maximaal bedrag van 300 euro aan cadeaubonnen.