Regeling Responsible Disclosure Koninklijk Instituut van Ingenieurs

English version below

Inleiding

Bij het Koninklijk Instituut Van Ingenieurs (KIVI) vinden wij de veiligheid van jouw en onze gegevens erg belangrijk, daarom beveiligen wij onze systemen. Ondanks onze zorg kan het voorkomen dat er toch een zwakke plek is in deze beveiliging.

Heb je een zwakke plek in één van onze systemen gevonden, dan horen wij dit graag, zodat we zo snel mogelijk maatregelen kunnen treffen. Wij willen graag met jou samenwerken om onze gebruikers en systemen beter te kunnen beschermen.

Wij vragen jou:

  • Geen aanvallen uit te voeren op fysieke beveiliging en mensen (social engineering).
  • Geen gebruik te maken van Distributed Denial of Service (DDos) aanvallen of spam.
  • Meldingen van kwetsbaarheden eenmalig te doen ook al komt dezelfde kwetsbaarheid op verschillende plaatsen in het systeem voor.
  • Je bevindingen te mailen naar responsible-disclosure@kivi.nl. Melden onder een pseudoniem is mogelijk. Indien je vindt dat de gegevens zo gevoelig zijn dat je ze wenst te versleutelen, verzoeken we je dat te melden. We zorgen er dan voor dat je een adres krijgt waar je PGP-versleutelde mail naar toe kunt sturen (PGP-public key).
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, bij complexere kwetsbaarheden is meer info nodig.
  • Alle vertrouwelijke gegevens die zijn verkregen via het lek zo snel mogelijk na het doorgeven van je melding te verwijderen, maar altijd na afstemming met ons om er zeker van te zijn dat wij het probleem kunnen reproduceren.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen, of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Het probleem niet met anderen te delen totdat het is opgelost.
  • Niet zelf over het opgeloste probleem te publiceren tenzij dit vooraf met ons is afgestemd.

Wat bij beloven:

  • Wij vinden het belangrijk dat kwetsbaarheden zo snel mogelijk aan ons worden gemeld, zodat wij direct actie kunnen ondernemen om onze omgeving weer veilig te maken. Meldingen worden daarom door ons altijd in dank aanvaard. Wij zullen dan ook geen juridische stappen overwegen naar melders die zich ongeautoriseerd toegang hebben verschaft tot gevoelige informatie, mits je je hebt gehouden aan bovenstaande punten.
  • Wij behandelen je melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder je toestemming met derden delen tenzij dat noodzakelijk is om aan een wettelijke verplichting te voldoen.
  • Wij reageren binnen 5 werkdagen op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem.
  • Als je er prijs op stelt nemen we jou op als melder in de Hall of Fame, indien gewenst kan dit onder pseudoniem.
  • Relevante inhoud van de opgeloste melding kunnen we publiceren op www.kivi.nl/cybersafety, tenzij er redenen zijn om dit niet te doen. Bijvoorbeeld wanneer de oplossing heeft geleid tot (ontdekking van) een gerelateerde kwetsbaarheid die nog niet is opgelost, of wanneer de publicatie kan leiden tot imagoschade voor (een onderdeel van) KIVI.
  • In berichtgeving over het opgeloste probleem zullen wij, indien je dit wenst, je naam vermelden als de ontdekker en melder.
  • Indien je de eerste melder bent van een kwetsbaarheid ontvang je een relatiegeschenk van KIVI.

Wij streven er naar alle gemelde problemen zo goed en snel mogelijk op te lossen. Dank je wel!


Responsible Disclosure Policy Royal Netherlands Society of Engineers (KIVI)

Introduction

At the Royal Netherlands Society of Engineers (KIVI) we care about your and our digital safety and about the safety of our data and systems, therefore we secure our systems. Despite our efforts a weak spot in our systems might occur.

If you find a vulnerability in one of our sytems, you are more than welcome to report this, in order for us to take measures as soon as possible. We would like to cooperate with you in order to protect our users, data and systems in a better way.

We ask you:

  • Not to attack physical security systems or persons (social engineering).
  • Not to use Distributed Denial of Service (DDos) attacks or spam.
  • Only report vulnerabilities once even if the vulnerability appears several times in our systems.
  • To email your findings to responsible-disclosure@kivi.nl. Reports using a pseudonym is possible. If you have the impression the report contains very sensitive information and to wish to encrypt, please use the PGP-key (link) to encrypt your message.
  • To provide us with sufficient information in order for us to reproduce and solve the problem as quickly as possible. Often an IP adress or the URL of the effected system and a descripton of the vulnerability will be sufficient, with complex vulnerabilities more information is needed.
  • To delete all confidential data that are obtained via the leak as quickly as possible after having reported the vulnerability, but always in consultation with us so that we can reproduce the problem.
  • No to misuse the problem by for example downloading more data than necessary to show the leak, or look into, delete or adjust data.
  • Not to share the problem with others until it is solved.
  • Not to publish the solved vulnerability unless you have gotten our prior permision.

We promise you:

  • We find it important that vulnerabilities are reported to us as quickly as possible, in order for us to take appropriate actions to secure the safelty of our digital environment. Reports will therefore be accepted with thankfullness. We will not consider to persue legal measures to reporters that have unauthorized access to sensitive information, if you have followed the above guidelines.
  • We will treat your report in a confidential way and will not share your personal details, without your prior permission with third parties unless this is necessary to comply with legal obligations.
  • We react within 5 work days to your report with our assessment of the report and an estimated date for the solution.
  • We keep you posted on the progress in solving the problem.
  • If you appreciate it, we will mention you as a reporter in our Hall of Fame, if you want we can use a pseudonym.
  • Relevant content of the solved issue could be published on www.kivi.nl/cybersafety, unless there are reasons not to do so. For example if the solution has led tot he discovery of a related vulnerability that has not been solved yet, or if the publication can lead to damage of the image of (a part of ) KIVI.
  • In messages about the solved vulnerability we will, if you wish, mention your name as the reporter of the vulnerability.
  • If you are the first reporter of a vulnerability you will receive a gift from KIVI. We do not give money.

Our aim is to solve all reports as fast and as good as we possibly can. Thank you !

 

 

 

 

 

 

 


-----BEGIN PGP PUBLIC KEY BLOCK-----
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=SmqG
-----END PGP PUBLIC KEY BLOCK-----