Coordinated Vulnerability Disclosure

Gemeente Stein hecht veel belang aan de beveiliging van haar systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat er een zwakke plek in de systemen te vinden is. Wanneer je een zwakkere plek in één van onze systemen ontdekt, horen wij dit graag van je, zodat wij snel gepaste maatregelen kunnen nemen. Door het maken van een melding verklaar je je als melder akkoord met onderstaande afspraken over Coordinated Vulnerability Disclosure en zal gemeente Stein jouw melding volgens onderstaande afspraken afhandelen.  

Wij vragen het volgende van je:

• Mail jouw bevindingen naar info@gemeentestein.nl gericht aan de ICT afdeling. Versleutel de bevindingen, als dit mogelijk is, om te voorkomen dat de informatie in verkeerde handen valt.
• Geef voldoende informatie om het probleem na te bootsen, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij moeilijkere kwetsbaarheden kan meer nodig zijn. 
• Wij houden ons aanbevolen voor tips die ons helpen het probleem op te lossen. Beperk je je daarbij wel graag tot controleerbare feitelijkheden die betrekking hebben op de door jou vastgestelde kwetsbaarheid en vermijd dat jouw advies in feite neerkomt op reclame voor specifieke (beveiligings)producten.
• Contactgegevens achter te laten zodat we met je in contact kunnen komen om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres of telefoonnummer achter.
• Dien de melding a.u.b. zo snel mogelijk in na ontdekking van de kwetsbaarheid.

De volgende handelingen zijn niet toegestaan:

• Het plaatsen van malware, niet op onze systemen en ook niet op die van anderen.
• Het zogeheten “bruteforcen” van toegang tot systemen.
• Het gebruik maken van social engineering.
• Het openbaar maken of aan derden delen van informatie over het beveiligingsprobleem voordat het probleem is opgelost.
• Het verrichten van handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang tot heeft gehad. Het wijzigen of verwijderen in het systeem is nooit toegestaan.
• Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd ((D)DoS-aanvallen).
• Het op wat voor andere wijze dan ook misbruik maken van de kwetsbaarheid.

Wat je mag verwachten: 

• Indien je aan alle bovenstaande voorwaarden voldoet, zullen wij geen strafrechtelijke aangifte tegen je doen en ook geen civielrechtelijke zaak tegen je aanspannen.
• Als blijkt dat je een voorwaarde toch hebt geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen je te ondernemen.
• Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder zijn of haar toestemming met derden, tenzij wij daar volgens de wet of een rechtelijke uitspraak toe verplicht zijn.
• Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo beschermen wij dat gemeenten hun ervaringen op dit vlak met elkaar delen.
• In onderling overleg kunnen we, als je dit wenste, jouw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijf je anoniem.
• Wij sturen je een (automatisch) ontvangstbevestiging van de melding.
• Wij reageren binnen 10 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.
• In onderling overleg kan worden bepaald of en op welke wijze over het probleem wordt gepubliceerd, nadat het is opgelost.

De gemeente probeert alle problemen zo snel mogelijk op te lossen en alle betrokkenen daarover te informeren. Zij wil graag worden geïnformeerd als er over het probleem gepubliceerd wordt.