drive/varia/responsible_disclosure_policy_nl.md

3.4 KiB

Responsible Disclosure Policy

We vinden het belangrijk dat onze infrastructuur en informatie veilig is. We doen ons best om ervoor te zorgen dat dit zo is, maar natuurlijk kan het altijd gebeuren dat er onverwacht toch beveiligingsproblemen zijn. Probeer dat zo snel mogelijk aan ons te vertellen, zodat we dit kunnen fixen. Deze Responsible Disclosure policy is van toepassing op alle Zeussystemen.

Wat we je beloven/aanbieden

  • Als je je houdt aan de volgende regels en verder niets illegaal doet, zullen we geen juridische stappen ondernenemen.
  • Tijdens het proces van het probleem op te lossen, houden we je op de hoogte met hoe het gaat
  • We proberen het probleem zo snel mogelijk op te lossen, en reageren zeker binnen de 7 dagen op de melding van het probleem
  • Nadat het beveiligingsprobleem is opgelost, mag je hierover publiceren. Het zou wel tof zijn als we dit mogen nalezen voor je dit publiceert, om er zo voor te zorgen dat alle informatie accuraat is. Als het een cool beveiligingsprobleem is, dan bestaat de mogelijkheid om hierover een blogpost te schijven die gepubliceerd kan worden op de Zeusblog.
  • Indien gewenst, anonimiteit bij het melden van beveiligingsproblemen. Hierbij is de melder verantwoordelijk dat die anoniem blijft.

Wat we verwachten van jou

  • Meld de ontdekking van een probleem zo snel mogelijk na ontdekking aan ons.
  • Contacteer ons via een manier waarbij we je ook in omgekeerde richting kunnen bereiken
  • Dat je bevestigd dat je deze Responsible Disclosure Policy gelezen hebt

Regels die gelden

  • Je maakt de kwetsbaarheid niet openbaar en communiceert hier niet over met anderen tot we dit probleem hebben opgelost.
  • Je maakt geen misbruik van de situatie: je doet enkel het minimum nodig om te bevestigen dat de kwetsbaarheid aanwezig is en verwijdert, wijzigt, leest of kopieert niet meer data dan nodig is om dit probleem aan te tonen. In het bijzonder zijn bijna al onze applicaties open source, dus verwachten we dat je eventuele kwetsbaarheden uittest op instanties die je zelf opzet, niet op de instanties die in productie draaien.
  • De volgende handelingen niet toe te passen:
    • Het plaatsen van malware
    • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem.
    • Het aanbrengen van veranderingen in het systeem.
    • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
    • Het gebruik maken van geautomatiseerde scantools op productieinstanties van onze applicaties. Op je eigen, lokale instanties mag dit natuurlijk wel.
    • Het proberen bruteforcen van toegang tot systemen.
    • Het gebruik maken van denial-of-service of social engineering
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • Alle gegevens die zijn verkregen via de kwetsbaarheid meteen te wissen na de melding.

Hoe ons te contacteren

Stuur een mail naar admin@zeus.ugent.be of een privébericht naar een of meerdere verkozen systeemadministrators via ons chatplatform. Als je graag via een end-to-end versleuteld communicatieplatform wil communiceren, kan je ook contact opnemen met de systeemadministrator om dit voor elkaar te krijgen.

Deze tekst is een afgeleid werk van "VRT-beleid van gecoördineerde bekendmaking van kwetsbaarheden" van de VRT, die op zich gebaseerd was op “Responsible Disclosure” van Floor Terra, gebruikt onder een Creative Commons Naamsvermelding 3.0 licentie.

Laatst aangepast: 2020-11-17