Kwetsbaarheid melden
Bij Nh1816 Verzekeringen hechten we veel waarde aan de beveiliging van onze systemen en gegevens. We waarderen hierom de inzet van beveiligingsonderzoekers om onze beveiligingsmaatregelen te blijven verbeteren. Bent u een kwetsbaarheid, datalek, of privacyprobleem tegengekomen? Dan horen we dit graag. Op deze pagina leest u hoe u dit bij ons kunt melden, wat wij van u verwachten en wat u van ons kunt verwachten.
Systemen
Ons beleid is van toepassing op alle digitale middelen die in bezit zijn van, beheerd worden door, of onderhouden worden door Nh1816 Verzekeringen.
- www.nh1816.nl
- *.nh1816.nl
- mijn-polissen.nl
- verzekeringapp.nl
Middelen of apparatuur die niet in bezit zijn van Nh1816 Verzekeringen vallen buiten dit beleid. Hieronder vallen bijvoorbeeld systemen van leveranciers of andere derde partijen.
Kwetsbaarheden die ontdekt worden in systemen die buiten dit beleid vallen, moeten gemeld worden bij de betreffende leverancier of verantwoordelijke instantie.
Wat wij beloven
Als u zich aan de kaders in dit beleid houd, kunt u het volgende van ons verwachten:
- Wij reageren vlot op uw melding en werken samen om uw melding te begrijpen en te bevestigen;
- We doen ons best om u op de hoogte te houden van de voortgang rondom uw melding;
- We streven ernaar om gevonden kwetsbaarheden snel en binnen onze mogelijkheden te herstellen;
- We bieden u de ruimte om volgens dit beleid uw onderzoek uit te voeren.
Wat we van u verwachten
Gedurende uw onderzoek, vragen we om:
- De regels na te leven, waaronder dit beleid en eventuele andere relevante overeenkomsten. Bij verschillen in dit beleid en andere voorwaarden, prevaleren de voorwaarden van dit beleid;
- Elke kwetsbaarheid direct aan ons te melden;
- De privacy van anderen niet te schenden, onze systemen niet te verstoren, gegevens niet te vernietigen en de ervaring voor onze gebruikers niet te veranderen;
- Alleen via de hier vermelde kanalen met ons te communiceren;
- Ons een redelijke termijn (minimaal 60 dagen vanaf de eerste melding) te geven om het probleem op te lossen, voordat u de informatie openbaar maakt.
- Alleen te testen op de systemen binnen het bereik van dit beleid;
- Als een kwetsbaarheid onbedoeld toegang geeft tot data: beperk de toegang tot het minimaal noodzakelijke voor een effectieve ‘Proof of Concept’; stop met testen en meld het meteen als u persoonsgegevens ontdekt, zoals NAW-gegevens of documenten;
- Gebruik voor het onderzoek of het testen alleen eigen gebruikersaccounts of met expliciete toestemming van de houder van het account; en
- Het eisen van een beloning in ruil voor informatie over kwetsbaarheden, of enige andere vorm van afpersing, is verboden.
Contact
Meld kwetsbaarheden of andere beveiligingsincidenten via security@nh1816.nl. Vermeld hierbij alle relevantie informatie die nodig is om de melding te behandelen. Hoe meer details u vermeld, hoe makkelijker en sneller we het probleem kunnen beoordelen en oplossen. Indien nodig, kunt u het bericht versleutelen middels onze PGP-key.
Beloning
Wij spreken graag onze dank uit aan beveiligingsonderzoekers die behulpzaam zijn in het verbeteren van onze beveiligingsmaatregelen. Indien aan de voorwaarden in dit beleid wordt voldaan, de melding juist en geverifieerd is, en voor het eerst wordt gemeld, kunnen we besluiten een beloning toe te kennen. De vorm en hoogte van de beloning wordt door ons per kwetsbaarheid vastgesteld. Wij behouden het recht om geen beloning toe te kennen.
Uitzonderingen
De in onderstaande lijst opgenomen meldingen beschouwen wij niet als kwetsbaarheden. Deze worden door ons niet in behandeling genomen en komen niet in aanmerking voor een beloning. Deze lijst is niet-limitatief en kan op ieder moment door ons worden aangepast.
- SPF, DKIM en DMARC of andere spam-gerelateerde problemen.
- Ontbrekende of ‘onjuist’ geconfigureerde securityheaders zoals HSTS of CSP.
- Ontbrekende of ‘onjuist’ geconfigureerde cookie-attributen.
- Brute-force, rate-limiting en andere denial of service aanvallen
- Clickjacking
Als u zich ten behoeve van uw onderzoek en/of melding houdt aan deze richtlijnen, geldt het volgende:
- We zullen geen juridische stappen tegen u ondernemen of ondersteunen als u per ongeluk en te goeder trouw deze richtlijnen overtreedt;
- We zullen geen aansprakelijkheidseisen tegen u indienen voor het omzeilen van technische controles;
- Ook maken we een uitzondering op sommige regels in onze gebruiksvoorwaarden als die botsen met dit onderzoek;
- We zien uw werk als rechtmatig, eerlijk en als iets dat de veiligheid van het hele internet ten goede komt.
Zoals altijd wordt van u verwacht dat u zich aan alle toepasselijke wetten en regels houdt. Als een derde partij juridische stappen neemt en u heeft zich aan dit beleid gehouden, zullen wij ons best doen te laten weten dat uw handelingen in overeenstemming waren met dit beleid.
Heeft u vragen of twijfels over of uw beveiligingsonderzoek in lijn is met dit beleid, neem dan eerst contact op via één van de genoemde kanalen voordat u verder gaat.