1. Kwetsbaarheid melden

Ontdek je een zwakke plek (kwetsbaarheid) op onze website of in een IT-systeem van AppSys ICT Group. Meld dit dan. AppSys ICT Group bekijkt het probleem en lost dit zo snel mogelijk op. Zo kunnen wij onze gegevens en systemen nog beter beschermen. Deze manier van samenwerken heet Coordinated Vulnerability Disclosure (CVD).

AppSys ICT Group beveiligt de gegevens op haar website en in IT-systemen met zorg. Toch kan het voorkomen dat er zwakke plekken bestaan. Computercriminelen kunnen daar misbruik van maken. Dit doen ze door in te breken in het systeem. En gegevens te veranderen of te stelen voor criminele activiteiten. Als je deze zwakke plekken meldt, help je ons om de gegevens veilig te houden.


2. Scope

In principe zijn alle assets (websites, domeinen, IP-adressen) die bij AppSys ICT Group horen in scope.


3. Welke kwestbaarheden zijn in scope?

In principe zijn alle soorten kwetsbaarheden in scope, zolang er een impact is op de veiligheid van de diensten van AppSys ICT Group. Privacy hoort hier ook bij.


4. Melding doen

  • Meld de zwakke plek die je hebt ontdekt zo snel mogelijk via het formulier.
  • Let op: als je anoniem meldt, kan AppSys ICT Group geen contact met je opnemen.
  • Geef voldoende informatie zodat AppSys ICT Group het probleem zelf kan bekijken (reproduceren) en zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het kwetsbare systeem en een omschrijving van de zwakke plek voldoende. Bij kwetsbaarheden die ingewikkelder zijn, is vaak meer informatie nodig.
  • Misbruik de zwakke plek niet. Bekijk bijvoorbeeld geen gegevens van anderen. Verwijder of verander ook geen gegevens van anderen. Als je gegevens downloadt, download dan niet meer dan nodig is om de zwakke plek aan te tonen.
  • Deel het probleem niet met anderen totdat AppSys ICT Group het probleem heeft opgelost.
  • Verwijder alle vertrouwelijke gegevens die je hebt gedownload nadat AppSys ICT Group het probleem heeft opgelost. Deel deze gegevens ook niet met anderen.
  • Gebruik geen:
    • Technieken die de dienstverlening van AppSys ICT Group in gevaar brengen.
    • Aanvallen op fysieke beveiliging, zoals toegangspoortjes en sloten.
    • Psychologische manipulatie (social engineering).
    • Aanvallen met heel veel inlogpogingen (brute-force attacks)
    • Spam

5. Na de melding

AppSys ICT Group:

  • Reageert binnen 10 werkdagen op je melding met een beoordeling en een verwachte datum voor een oplossing.
  • Houdt je op de hoogte over de voortgang van het oplossen van het probleem.
  • Onderneemt geen juridische stappen tegen jou over de melding, als je je aan de voorwaarden hebt gehouden.
  • Behandelt jouw melding vertrouwelijk en deelt je persoonlijke gegevens niet met derden zonder jouw toestemming. Een uitzondering hierop is als AppSys ICT Group wettelijk verplicht is je persoonlijke gegevens te delen. Je mag de melding onder een schuilnaam doen.
  • Kan je een beloning geven als dank voor je hulp. AppSys ICT Group bepaalt dit per melding. De grootte van de beloning hangt vooral af van de ernst van de kwetsbaarheid en de kwaliteit van je melding.

AppSys ICT Group probeert alle problemen zo snel mogelijk op te lossen en alle betrokkenen daarover te informeren. Wij willen graag worden geïnformeerd als er over het opgeloste probleem gepubliceerd wordt.