Ons beleid voor verantwoord melden

Munisense hecht veel waarde aan de beveiliging van haar systemen en de privacy van haar gebruikers. Ondanks onze inspanningen om een veilige omgeving te creëren, kunnen er kwetsbaarheden aanwezig zijn. Als u een beveiligingsprobleem ontdekt, verzoeken wij u dit op een verantwoorde manier aan ons te melden, zodat wij passende maatregelen kunnen nemen en de veiligheid van onze systemen kunnen waarborgen.​

Scope

Dit beleid is van toepassing op alle openbare systemen en diensten van Munisense, inclusief maar niet beperkt tot onze websites, applicaties en API's.​

Richtlijnen voor het melden

Wij verzoeken u vriendelijk om bij het ontdekken van een kwetsbaarheid de volgende richtlijnen in acht te nemen:

• Meld de kwetsbaarheid zo snel mogelijk: Stuur uw bevindingen naar ons via de methode die in dit document is vermeld.
• Deel het kwetsbaarheid niet met anderen tot wij het binnen een redelijke tijd hebben kunnen oplossen.
• Geef een gedetailleerde beschrijving: Beschrijf de kwetsbaarheid duidelijk en volledig, inclusief de stappen om deze te reproduceren, zodat wij deze snel kunnen verifiëren en oplossen.​
• Respecteer privacy en gegevensbescherming: Vermijd het inzien, en wijzig of verwijder geen gegevens.​
• Beperk uw acties tot wat noodzakelijk is: Gebruik de kwetsbaarheid niet verder dan nodig is om het probleem aan te tonen.​
• Maak geen gebruik van destructieve methoden: Voer geen acties uit die de beschikbaarheid of integriteit van onze systemen kunnen aantasten, zoals denial-of-service-aanvallen.
• Voer geen aanvallen uit op fysieke beveiliging, gebruik geen social-engineering, verstuur geen spam of phising, en maak geen gebruik van geautomatiseerde applicaties voor het scannen van kwetsbaarheden.

Wat kunt u van ons verwachten

Wanneer u een kwetsbaarheid meldt volgens deze richtlijnen, kunt u het volgende van ons verwachten:​

• Snelle bevestiging van ontvangst: Wij sturen binnen drie werkdagen een ontvangstbevestiging van uw melding.​
• Transparantie gedurende het proces: Wij houden u op de hoogte van de voortgang en status van uw melding.​
• Geen juridische stappen: Wij ondernemen geen juridische stappen tegen u als u handelt in overeenstemming met dit beleid en de kwetsbaarheid op een verantwoorde manier meldt. Dit geldt echter niet in gevallen waarin er niet te goeder trouw wordt gehandeld, zoals: afpersing, moedwillige beschadiging van data of het verminderen van de beschikbaarheid van onze systemen.
• Vertrouwelijkheid van uw melding: uw persoonlijke gegevens worden niet zonder uw toestemming gedeeld met derden, tenzij dit wettelijk verplicht is.​

Geen beloningsbeleid

Munisense hanteert geen beleid voor het belonen van het vinden van kwetsbaarheden. Dit besluit is genomen omdat beloningsprogramma’s vaak worden misbruikt en veel tijd wordt besteed aan het beoordelen van meldingen die buiten de scope vallen of geen impact hebben op de veiligheid. Wij moedigen verantwoord melden van kwetsbaarheden aan, maar bieden geen financiële of materiële beloningen.

Geen uitnodiging tot speuren

Ons meldingsbeleid is geen uitnodiging om ons netwerk uitgebreid actief te scannen op zwakke plekken. Wij monitoren ons netwerk zelf. Hierdoor is de kans groot dat een scan wordt opgepikt, ons team hier onderzoek naar gaat doen, en er mogelijk onnodige middelen worden verspilt door dit na te zoeken.

Uitsluitingen

Dit beleid is niet van toepassing op:​

• Kwetsbaarheden in systemen of diensten van derden die geïntegreerd zijn met die van ons, maar niet onder onze directe controle vallen.​
• Kwetsbaarheden die al openbaar bekend zijn of reeds door ons zijn geïdentificeerd.

Contact

De meest recente contact informatie is opgenomen in een security.txt bestand op onze website:
https://munisense.net/.well-known/security.txt

U mag uw melding ondertekenen of versleutelen met de PGP sleutel met ID 5BB32F169E8A86ECD975EFC941C0170A0B6F7531 (RSA4096):
https://munisense.net/.well-known/security-pgp-key.txt

En versturen naar: joffrey at munisense.com

Vermeld zo duidelijk mogelijk de kwetsbaarheid en hoe wij deze kunnen valideren.

Een melding mag anoniem of met uw contactgegevens. Wij zullen deze gegevens alleen gebruiken om contact met u op te nemen over vragen of terugkoppeling over uw melding tenzij wij hier toe wettelijk verplicht worden (door bijvoorbeeld voor onderzoek van de politie of bevel van een rechtbank).

Slotopmerkingen

Wij streven ernaar om onze systemen continu te verbeteren en waarderen de hulp van de beveiligingsgemeenschap bij het identificeren van potentiële kwetsbaarheden. Door samen te werken kunnen we een veiligere digitale omgeving creëren voor iedereen.​

Bedankt voor uw bijdrage aan de veiligheid van Munisense.