Bij DAS vinden wij de veiligheid van onze ICT-systemen en websites erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan er tóch een zwakke plek voorkomen. Heeft u een zwakke plek ontdekt in een ICT-systeem of DAS-website? Dat horen wij graag. Dan kunnen wij zo snel mogelijk maatregelen nemen. Wij willen graag met u samenwerken om onze klanten en onze ICT-systemen beter te kunnen beschermen. Dit principe heet responsible disclosure.
Melding doen
Heeft u een zwakke plek in een ICT-systeem of DAS-website ontdekt? Dan vragen wij het volgende van u.
- Verstuur de melding zo snel mogelijk via ons formulier of mail naar: responsibledisclosure@das.nl. Let wel: dit e-mailadres is uitsluitend bedoeld voor het doen van de melding. Voor het aanleveren van bewijsmateriaal of aanvullende informatie nemen wij persoonlijk contact met u op.
- Deel informatie over het beveiligingsprobleem niet met anderen totdat het probleem is opgelost.
- Ga verantwoordelijk om met de kennis over het beveiligingsprobleem. Verricht geen handelingen die verdergaan dan nodig zijn om het beveiligingsprobleem aan te tonen.
- Maak geen misbruik van de zwakke plek en bewaar geen vertrouwelijke gegevens die zijn verkregen via de kwetsbaarheid in het systeem.
- Laat uw contactgegevens (e-mailadres of telefoonnummer) achter zodat DAS contact met u kan opnemen over de status van de storing.
Voldoet u bij uw melding aan deze voorwaarden? Dan verbindt DAS geen juridische consequenties aan de melding.
Wat doet DAS bij uw melding?
U doet melding van een zwakke plek in een ICT-systeem of DAS-website. DAS behandelt uw melding dan als volgt.
- U krijgt binnen twee werkdagen na het doen van uw melding een ontvangstbevestiging.
binnen drie werkdagen na de ontvangstbevestiging ontvangt u een reactie. Daarin staat een beoordeling van de melding en hoe u eventueel bewijsmateriaal moet aanleveren. - Tussentijds wordt u op de hoogte gehouden van de voortgang en het oplossen van het probleem en de verwachte oplosdatum.
- DAS behandelt uw melding vertrouwelijk en zal uw gegevens nooit zonder uw toestemming met derden delen, behalve als dit wettelijk of door een rechterlijke uitspraak verplicht is.
- Dit beleid is gebaseerd op de leidraad voor Coordinated Vulnerability Disclosure van het Nationaal Cyber Security Centrum.