Privacy

Meldpunt Kwetsbaarheden

Ben jij deskundig en ontdek je een kwetsbaarheid in onze systemen? Help ons dan door deze kwetsbaarheid te melden. Zo kunnen we samen de veiligheid en betrouwbaarheid van onze systemen verbeteren. Als Visio vinden wij het belangrijk dat je veilig gebruik kunt maken van onze websites. Ondanks onze zorg voor de beveiliging van onze systemen kunnen er toch kwetsbaarheden in voorkomen.

Wat kan je melden?

Je kan problemen melden die betrekking hebben op de beveiliging in een website van Visio. Mocht je een probleem of zwakke plek gevonden hebben, meld dit ons dan zo snel mogelijk. Voorbeeld van kwetsbaarheden die gemeld kunnen worden:

  • Authentication/Authorization

  • Cross Site Scripting (XSS)-kwetsbaarheden

  • SQL injectiekwetsbaarheden

  • Encryptiezwakheden

  • Information leakage

Hoe kan je een melding doen?

Je kan een melding per e-mail doorgeven via disclosure@visio.org. Maak in de e-mail kort en bondig duidelijk welke kwetsbaarheid je hebt gevonden, met name:

  • Welke stappen je hebt doorlopen

  • Wat de volledige URL is

  • Wat de eventueel betrokken objecten zijn (bijvoorbeeld welke invoervelden of filters)

  • Scherm printen zijn welkom

Onze specialisten lezen de melding en gaan gelijk aan de slag. Zie je een zwakke plek in onze IT-systemen? Neem dan altijd zo snel mogelijk met ons contact op. Wacht niet.

Wat doen we met je melding?

Een team van beveiligingsexperts onderzoekt de melding en geeft binnen twee werkdagen een eerste reactie. Maak het probleem niet publiek, maar praat met onze experts en geef hen de tijd het probleem op te lossen. Wij laten je weten wat we van de melding vinden, of we een oplossing gaan toepassen en wanneer we dat plannen te doen.

De spelregels

Bij het onderzoek zou je mogelijk handelingen kunnen verrichten die strafbaar zijn. Als je te goeder trouw, zorgvuldig en volgens de aangegeven spelregels handelt, is er voor Visio geen aanleiding om aangifte te doen. Volg daarom de regels zoals opgenomen in deze responsible disclosure regeling en handel daarnaast niet op onevenredige wijze:

  • Zorg ervoor dat je tijdens het onderzoeken van de gevonden kwetsbaarheid geen schade aanricht.

  • Maak geen gebruik van social engineering om toegang te krijgen tot een systeem.

  • In geen geval mag je onderzoek leiden tot onderbreking van onze dienstverlening

  • In geen geval mag je onderzoek leiden tot openbaarmaking van klantgegevens.

  • Plaats geen backdoor in een systeem. Ook niet om de kwetsbaarheid aan te tonen. Door het plaatsen van een backdoor in een systeem, wordt dat systeem nog onveiliger.

  • Wijzig of verwijder geen gegevens in het systeem. Is het voor het onderzoek nodig om gegevens uit het systeem te kopiëren? Kopieer dan nooit meer gegevens dan nodig. Als 1 record voldoende is voor uw onderzoek, ga dan niet verder.

  • Breng geen systeemveranderingen aan.

  • Probeer niet vaker dan nodig een systeem binnen te dringen. Als het lukt om een systeem binnen te dringen, deel de toegang dan niet met anderen.

  • Gebruik geen bruteforce-technieken (herhaaldelijk proberen van wachtwoorden) om toegang tot systemen te krijgen.

  • Gebruik geen technieken die de beschikbaarheid van onze diensten kunnen beïnvloeden.

Kan ik een zwakke plek ook anoniem melden?

Je hoeft je naam en contactgegevens niet door te geven als je een melding doet. Bedenk wel dat wij dan niet met je kunnen overleggen over de vervolgstappen. Bijvoorbeeld over wat we met de melding doen, verdere samenwerking of erkenning zoals naamsvermelding.

Waar is het meldpunt niet voor bedoeld?

  • Het indienen van klachten over de dienstverlening of websites van Visio

  • Vragen of klachten over de beschikbaarheid van websites

  • Het melden van nepmails of phishing e-mails

  • Het melden van virussen

Jouw privacy

Visio gebruikt jouw persoonsgegevens alleen om actie te ondernemen op de melding. We geven jouw persoonsgegevens niet zonder jouw toestemming aan anderen, tenzij wij op grond van de wet jouw gegevens moeten afstaan. Of als we een ander bedrijf inschakelen om de melding verder te onderzoeken. In dat geval zullen we er altijd voor zorgen dat ook zij op hun beurt op dezelfde manier als wij, jouw gegevens geheim houden. Visio blijft ook dan verantwoordelijk voor jouw gegevens.

Responsible Disclosure regeling

Over het melden van zwakke plekken in IT-systemen heeft het Nationaal Cyber Security Centrum van het Ministerie van Veiligheid en Justitie een leidraad gemaakt. Onze regels zijn op die leidraad gebaseerd. Meer lezen over de Leidraad om te komen tot een praktijk van Responsible Disclosure? Kijk op de website van het Nationaal Cyber Security Centrum.

jongeman-met-smartphone-op-bankje-in-park.jpg

Vragen over privacy?

Binnen Visio houdt Hasan Korkmaz, Functionaris Gegevensbescherming, toezicht op de toepassing en naleving van de AVG. Neem contact op met ons als je vragen hebt over het privacystatement of -beleid van Visio of een beroep wilt doen op één van jouw wettelijke rechten (via post naar het Bestuurs- en Bedrijfsbureau)

Mail de privacyofficer Bel met de privacy officer

Meer informatie over privacy

Factsheet privacy

Privacyreglement Visio