Bij SBA hechten wij grote waarde aan de veiligheid en betrouwbaarheid van onze IT-oplossingen en webapplicaties. Ondanks onze inspanningen om beveiligingsmaatregelen te implementeren, kunnen er toch kwetsbaarheden in onze systemen voorkomen. Wij willen aan experts, klanten, en andere belanghebbenden vragen om ontdekte kwetsbaarheden op een verantwoorde manier aan ons te melden. Dit beleid beschrijft hoe wij omgaan met meldingen van kwetsbaarheden.

Onze belofte

Bij ontvangst van een melding over een potentiële kwetsbaarheid committeren wij ons aan de volgende acties:

1. Snelheid: We zullen de melding binnen 3 werkdagen bevestigen.
2. Evaluatie: We zullen de gemelde kwetsbaarheid onderzoeken en valideren.
3. Transparantie: We houden de melder op de hoogte van de voortgang en geven een indicatie van de verwachte oplostijd.
4. Oplossing: Zodra de kwetsbaarheid is bevestigd, zullen we werken aan een passende oplossing om deze te mitigeren of op te lossen.

Hoe te melden

Als je een kwetsbaarheid ontdekt in een van onze IT-diensten of webapplicaties, verzoeken we jou vriendelijk om deze op de volgende manier te melden:

• E-mail: Stuur uw melding naar servicedesk@sba.nl met het onderwerp “Coordinated Vulnerability Disclosure”.
• Inhoud van de melding: Geef een gedetailleerde beschrijving van de kwetsbaarheid, inclusief de stappen om deze te reproduceren, de impact, en eventuele bewijsstukken zoals screenshots of logbestanden.

Wat we van jou verwachten

Om ervoor te zorgen dat het melden van kwetsbaarheden op een veilige en verantwoorde manier gebeurt, vragen we je om:

• Geen openbaarmaking: De kwetsbaarheid niet openbaar te maken voordat wij een oplossing hebben geïmplementeerd en jou toestemming heeft gegeven om de informatie te delen.
• Beperkingen: Geen toegang te verkrijgen tot gegevens van derden, geen wijzigingen aan te brengen in het systeem en geen verstoring van onze diensten te veroorzaken.
• Wettelijke naleving: Geen gebruik te maken van kwetsbaarheden die in strijd zijn met de wet, bijvoorbeeld door gebruik te maken van social engineering of fysieke aanvallen.

Disclaimer

Deze Coordinated Vulnerability Disclosure is niet bedoeld als uitnodiging tot het uitvoeren van penetratietesten of andere beveiligingsonderzoeken zonder voorafgaande toestemming. Het volgen van ons Coordinated Vulnerability Disclosure beleid betekent dat je uit zuivere motieven handelt en wij zullen geen juridische stappen ondernemen tegen onderzoekers die zich houden aan dit beleid. Wij waarderen jouw hulp bij het beschermen van de veiligheid en privacy van onze klanten. Jouw inspanningen helpen ons om onze producten en diensten continu te verbeteren. Mocht je vragen hebben over dit beleid, neem dan contact met ons op via servicedesk@sba.nl