Inloggen voor partners
Contact
Contact

Nieuwe naam, zelfde missie, Fox Crypto wordt Sentyron. Meer informatie ->

Verantwoorde openbaarmaking, herstel van gebreken en productbeveiliging

Beveiliging van onze systemen

We vinden de beveiliging van onze systemen, ons netwerk en onze producten van het grootste belang. Ondanks de grote zorg die we besteden aan de beveiliging, kunnen er toch zwakke plekken blijven bestaan. Als je zo'n zwakke plek hebt gevonden, horen we dat graag zo snel mogelijk, zodat we zo snel mogelijk passende maatregelen kunnen nemen.

Zwakke punten kunnen op twee manieren worden ontdekt: je kunt er per ongeluk op stuiten tijdens het normale gebruik van een digitale omgeving, of je kunt expliciet je best doen om ze te vinden.

Ons responsible disclosure-beleid is geen uitnodiging om ons bedrijfsnetwerk of onze producten actief te scannen om zwakke punten te ontdekken. We bewaken ons bedrijfsnetwerk zelf. Dit betekent dat de kans groot is dat een scan wordt gedetecteerd en dat er een onderzoek wordt uitgevoerd door ons Security Operation Center (SOC), wat kan leiden tot onnodige kosten. Ook testen we uitgebreid onze eigen producten.

U wordt echter uitgenodigd om actief te zoeken naar kwetsbaarheden in onze producten in een offline niet-productieomgeving en uw bevindingen aan ons te melden. Onze verantwoordelijkheid ten opzichte van onze klanten houdt in dat het niet onze bedoeling is om hackpogingen op hun infrastructuur aan te moedigen; we horen echter graag zo snel mogelijk van u als er kwetsbaarheden worden gevonden, zodat we deze adequaat kunnen oplossen.

We willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Als je een kwetsbaarheid ontdekt, willen we dat graag weten zodat we stappen kunnen ondernemen om deze zo snel mogelijk te verhelpen. We willen u vragen ons te helpen onze klanten en systemen beter te beschermen.

Doe het volgende:

  • E-mail je bevindingen (eventueel versleuteld met onze PGP-sleutel) zo snel mogelijk naar sentyron of neem contact op met +31 (0)15 284 79 87
  • Maak geen misbruik van de kwetsbaarheid, bijvoorbeeld door gegevens te downloaden, te bewerken of te verwijderen. We nemen je melding altijd serieus en onderzoeken vermoedens van een kwetsbaarheid, zelfs zonder bewijs.
  • Maak het probleem pas bekend aan anderen als het is opgelost,
  • Maak geen gebruik van aanvallen op fysieke beveiliging, social engineering of hackingtools, zoals kwetsbaarheidsscanners.
  • Geef voldoende informatie om het probleem te kunnen reproduceren zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem, of het type en de versie van het getroffen product en een beschrijving van de kwetsbaarheid voldoende, hoewel meer informatie nodig kan zijn voor complexere kwetsbaarheden.

Wat we beloven:

  • Ondersteuning is beschikbaar op werkdagen tussen 9:00 en 17:00 uur en de standaard reactietijd voor ondersteuning is vier uur tijdens kantooruren, maar niet op feestdagen,
  • We zullen binnen drie werkdagen reageren op je melding, met onze evaluatie van de melding en een verwachte oplossingsdatum.
  • We behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder jouw toestemming aan derden verstrekken. Een uitzondering hierop vormen politie en justitie in geval van vervolging of als informatie wordt opgevraagd.
  • We houden je op de hoogte van de voortgang van de oplossing van het probleem.
  • In de communicatie over het gemelde probleem vermelden we uw naam als de partij die het probleem heeft ontdekt, als u dat wilt.
  • Het is helaas niet mogelijk om vooraf te garanderen dat er geen gerechtelijke stappen tegen je ondernomen zullen worden. We hopen elke situatie individueel te kunnen bekijken. We zien het als onze morele plicht om je aan te geven als we vermoeden dat de zwakke plek of de gegevens worden misbruikt, of dat je kennis over de zwakke plek hebt gedeeld met anderen. U kunt er zeker van zijn dat een toevallige ontdekking in onze online omgeving niet zal leiden tot vervolging.
  • Als dank voor je hulp bieden we een beloning voor elke melding van een beveiligingsprobleem dat niet bij ons bekend is. We bepalen de waarde van de beloning op basis van de ernst van de inbreuk en de kwaliteit van de melding.

We streven ernaar om alle problemen zo snel mogelijk op te lossen, alle betrokken partijen op de hoogte te houden en we willen graag betrokken worden bij elke publicatie over het probleem zodra het is opgelost.

Kwetsbaarheden buiten bereik

Om een efficiënte en gerichte rapportage van kwetsbaarheden te garanderen, worden de volgende kwesties beschouwd als buiten het bereik van ons programma voor verantwoordelijke openbaarmaking. Rapporten die alleen deze kwesties identificeren komen niet in aanmerking voor triage of herstel:

  • Ontbrekende beveiligingsheaders, inclusief:
    • Beleid voor inhoudsbeveiliging (CSP)
    • Beleid voor bronnen over de grenzen van herkomst (CORP)
    • CORS (Cross-Origin Resource Sharing)
    • Rechten-beleid
    • MTA-STS
  • Ontbrekende of verkeerd geconfigureerde e-mail- en DNS-records, zoals SPF, DKIM, DMARC of DNSSEC
  • Gebrek aan snelheidsbeperking of throttling, inclusief gevoeligheid voor Denial of Service (DoS) of Distributed Denial of Service (DDoS) aanvallen
  • Problemen met verouderde browsers of besturingssystemen

Wil je meer weten?

Als u beveiligingsupdates, rapporten over het verhelpen van zwakke plekken of andere beveiligingsgerelateerde richtlijnen wilt ontvangen, kunt u contact met ons opnemen via responsible-disclosure@sentyron.nl, +31 (0)15 284 79 87 of neem contact op met uw vertegenwoordiger. 

Met dank aan Floor Terra voor zijn voorbeeldtekst op http://responsibledisclosure.nl/.