Responsible disclosure
Gemeente Waalre vindt de beveiliging van haar gegevens heel belangrijk. Ondanks voorzorgsmaatregelen, blijft het mogelijk dat er een zwakke plek te vinden is op onze website, in onze systemen en in de gegevens op papieren documenten. Dit noemen we een kwetsbaarheid.
Ontdekt u een kwetsbaarheid, laat ons dat zo snel mogelijk na de ontdekking weten. Door uw melding kunnen we gepaste maatregelen nemen. De gemeente werkt graag samen met u om burgers, bedrijven en systemen beter te kunnen beschermen door kwetsbaarheden op te lossen.
Wat wij u vragen
- Meld een kwetsbaarheid via onderstaande button.
- Noem in uw melding voldoende informatie om het probleem te verduidelijken. Dit helpt mee bij snelle oplossing.
- Meestal is het IP-adres of de URL van het systeem, of het document kenmerk & datum, en een omschrijving van de kwetsbaarheid voldoende. Bij ingewikkeldere kwetsbaarheden kan meer nodig zijn. Zet uw naam en e-mailadres of telefoonnummer op het formulier. Wij nemen als het nodig is contact met u op.
- Graag horen we tips die ons helpen het probleem op te lossen.
Wilt u op de hoogte blijven van de voortgang van de melding? Geef dan bij de melding uw naam en e-mailadres of telefoonnummer door. Dan informeren wij u over de beoordeling, de verwachte datum van oplossing de oplossing.
De volgende handelingen zijn niet toegestaan
Handelingen die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen, zijn niet toegestaan. Dus voorkom altijd het volgende:
- Het plaatsen van malware op onze systemen.
- Verwerk (waaronder het inzien of kopiëren) geen vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u normaal gesproken volstaan met bijvoorbeeld een schermprint van de directory of webpagina.
- Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.
- Het herhaaldelijk verschaffen van toegang tot het systeem of de toegang delen met anderen.
- Het verschaffen van toegang tot het systeem. Dit kan door bijvoorbeeld gebruik te maken van 'brute force', een aanvalsmethode om een geheim te achterhalen zoals bijvoorbeeld een wachtwoord. Dit mag alleen als het strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet. Dat wil zeggen als het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord is te kraken, waarmee het systeem of de gegevens in het systeem kunnen worden ingezien, gewijzigd, gekopieerd of vernietigd.
- Het gebruik van 'social engineering'. Social Engineering is het op een legale manier (dus niet via chantage of iets dergelijks) overhalen van gebruikers van het systeem tot het verstrekken van gegevens aan onbevoegden.
- Het schaden van een gebruiker, indien u toch een handelingsfout van een van onze gebruikers aantreft.
- Probeer de gebruiker zelf niet te schaden. Zorg ervoor dat uw bevindingen uitsluitend zijn gericht op het aantonen van kennelijke gebreken in de procedures en werkwijze binnen de gemeente Waalre.
- Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services slechter wordt. Bijvoorbeeld Denial-of-Service-aanvallen, DOS-aanvallen.
- Het op wat voor (andere) manier dan ook misbruik maken van de kwetsbaarheid.
- Het delen van de kwetsbaarheid met anderen.
Wat wij beloven
- U krijgt uiterlijk binnen 5 werkdagen een bevestiging van ontvangst van uw melding.
- Wilde u op de hoogte blijven van de voortgang? Dan houden wij u als melder daarvan op de hoogte. Vermeld dan bij de melding uw naam en minimaal een e-mailadres of telefoonnummer.
- Wij bieden u een kleine attentie aan, als de kwetsbaarheid bij ons onbekend was en serieus is.
- Wij behandelen uw melding vertrouwelijk en delen persoonlijke gegevens niet zonder uw toestemming met derden. Dit doen we alleen als dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- Wanneer u de melding volgens deze spelregels doet, dan hebben wij geen reden om juridische consequenties te verbinden aan uw melding.
Indien gemeente Waalre niet reageert of u vindt dat dit niet goed genoeg gebeurd, kunt u het CERT-team van de Informatiebeveiligingsdienst op de hoogte stellen via telefoonnummer 070-3738011 of per mail naar: incident@IBDgemeenten.nl.