Responsible Disclosure

Stentec vindt veiligheid van haar systemen erg belangrijk. Ondanks de zorg voor beveiliging kan een zwakke plek toch voorkomen. Stentec werkt graag samen met u om haar systemen nog beter te kunnen beschermen. Om zo snel mogelijk maatregelen te kunnen nemen, horen wij het graag als u zo'n zwakke plek in een van onze systemen ontdekt.

Voorwaarden melding beveiligingsprobleem:

  • Mail uw bevinding(en) naar stentec@stentec.com.
  • Geef voldoende informatie over het probleem zodat Stentec dit zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL (webadres) van het bewuste systeem en een omschrijving van beveiligingsprobleem voldoende. 
  • Laat uw contactgegevens (minimaal een e-mailadres of telefoonnummer) achter zodat Stentec u kan benaderen om samen aan een veilig resultaat te werken. 
  • Geef het beveiligingsprobleem zo snel mogelijk na ontdekking door. Deel informatie over het probleem niet met anderen totdat het is opgelost.
  • Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.

Wat u van Stentec mag verwachten.

  • Stentec verbindt geen juridische consequenties aan uw melding wanneer u zich aan bovenstaande voorwaarden houdt.
  • Stentec behandelt uw melding vertrouwelijk en deelt persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kan Stentec, wanneer u dat wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • U ontvangt binnen 1 werkdag een ontvangstbevestiging.
  • Binnen 3 werkdagen reageert Stentec op een melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Stentec houdt  u op de hoogte van de voortgang van het oplossen van het probleem.
  • Stentec lost het geconstateerde beveiligingsprobleem zo snel mogelijk, maar uiterlijk binnen 90 dagen, op. 
  • In onderling overleg kan worden bepaald of en zo ja, op welke wijze het opgeloste probleem bekend wordt gemaakt.

Wat doet Stentec als zij kwetsbaarheden bij anderen constateert?

  • Stentec voert alleen onderzoek uit naar lekken in door derden beheerde systemen (samenwerkingspartners of leveranciers) nadat onderling overleg hierover heeft plaatsgevonden. Wel behoudt Stentec zich het recht voor om, zonder voorafgaande kennisgeving, onderzoek naar kwetsbaarheden uit te voeren. 
  • Stentec brengt geen beveiligingslekken in software of systemen van derden in de publiciteit.
  • Door Stentec geconstateerde zwakke plekken meldt zij zo spoedig mogelijk aan de partij die verantwoordelijk is voor de hosting en/of het beheer van de systemen en software. 
  • Door Stentec geconstateerde beveiligingslekken of -problemen worden, als de ernst van het geconstateerde dat rechtvaardigt, gemeld bij het Nationaal Cyber Security Center van de Nederlandse overheid.