Responsible Disclosure

De veiligheid van onze producten en diensten vinden we erg belangrijk.

Ook die van onze IT-systemen. Ondanks alle zorg en aandacht voor de beveiliging van de systemen kan het voorkomen dat er (tijdelijk) een zwakke plek, een kwetsbaarheid, over het hoofd wordt gezien.

Denkt u dat u een zwakke plek heeft gevonden in één van onze systemen?

Dan horen we dit graag. We kunnen dan zo snel mogelijk maatregelen treffen. U kunt hiervoor onderstaande richtlijnen volgen. Zo kunnen we samen voorkomen dat anderen de mogelijke kwetsbaarheid misbruiken.

  • 1. Zo meldt u een mogelijke kwetsbaarheid in onze systemen
    • Mail uw bevindingen naar security@mediq.com. Versleutel uw bevindingen indien mogelijk met de PGP-sleutel van Mediq om te voorkomen dat informatie in verkeerde handen valt.
    • Geef voldoende informatie door om de gevonden kwetsbaarheid te reproduceren zodat Mediq dit zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan meer informatie nodig zijn.
    • Misbruik de kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is of gegevens van derden in te kijken, te verwijderen of aan te passen.
    • Deel de kwetsbaarheid niet met anderen en wis alle verkregen vertrouwelijke gegevens.
    • Geef uw contactgegevens door zodat Mediq contact met u op kan nemen om samen te werken aan een veilig resultaat. Geef in elk geval uw e-mailadres of telefoonnummer door.
  • 2. Doe dit alstublieft niet als u een mogelijke kwetsbaarheid heeft gevonden
    • Het plaatsen van malware.
    • Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
    • Het aanbrengen van veranderingen in het systeem.
    • Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
    • Het gebruikmaken van het zogeheten “bruteforcen” van toegang tot systemen.
    • Het gebruiken van denial-of-service of social engineering.

    Het beleid voor responsible disclosure is geen uitnodiging om onze ICT-systemen actief te scannen om kwetsbaarheden te ontdekken. Mediq scant en monitort zelf haar ICT-systemen.

  • 3. Zo gaan we om met uw melding
    • U ontvangt binnen 3 dagen een reactie van ons met onze beoordeling van uw melding en een verwachte datum voor een oplossing.
    • Heeft u zich aan de bovengenoemde voorwaarden gehouden? Dan ondernemen wij geen juridische stappen tegen u met betrekking tot de wijze van vinden, de inbreuk en het rapporteren van de kwetsbaarheid.
    • Uw melding behandelen we vertrouwelijk. We delen uw persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. U kunt kwetsbaarheden ook anoniem melden.
    • We houden u op de hoogte van de voortgang van het oplossen van het probleem.
    • Indien gewenst, vermeldt Mediq uw naam of alias in de publieke patch of security fix release information.

     

  • 4. Wat kunt u niet melden onder responsible disclosure?

    De regeling is niet bedoeld voor:

    • Opmerkingen over de diensten die Mediq levert.
    • Opmerkingen of vragen over de bereikbaarheid van onze diensten.
    • Rapporteren van fraude of mogelijke fraude.
    • Rapporteren van mogelijk valse of zogenaamde phishing e-mails.
    • Rapporteren van virussen en/of malware.
    • Het melden van klachten.