Responsible Disclosure

Bij SCOL vinden wij het belangrijk dat onze leerlingen en medewerkers veilig kunnen leren en werken. Dat kan alleen wanneer onze systemen en ons netwerk veilig zijn. Ondanks het feit dat we voortdurend zorg besteden aan beveiliging kan het voorkomen dat er een kwetsbaarheid wordt ontdekt. Wanneer je een kwetsbaarheid in één van onze systemen vindt dan horen wij dit heel graag zodat we de kwetsbaarheid kunnen verhelpen.  

Wat wij van jou verwachten:

  1. Je misbruikt de kwetsbaarheid niet door bijvoorbeeld meer data te downloaden dan nodig is om de kwetsbaarheid aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
  2. Je maakt geen gebruik van social engineering, distributed denial of service, spam of applicaties van derden en je voert geen aanvallen uit op fysieke beveiliging.
  3. Je deelt je bevindingen door een e-mail te sturen naar security@scoleiden.nl. Bij voorkeur versleutel je jouw melding met onze publieke PGP key om te voorkomen dat de informatie in verkeerde handen valt.
  4. Je deelt voldoende informatie om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving of screenshot van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  5. Je deelt het probleem niet met anderen totdat het is opgelost.
  6. Je wist alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek.

Wat jij van ons mag verwachten: 

  1. We reageren binnen 5 werkdagen inhoudelijk op je melding, inclusief de verwachte oplossingstermijn. 
  2. We verhelpen de kwetsbaarheid zo snel mogelijk en houden je op de hoogte van de voortgang. 
  3. Wanneer je je houdt aan de bovenstaande verwachtingen dan zullen wij geen juridische stappen tegen je ondernemen met betrekking tot jouw melding. 
  4. We behandelen je melding vertrouwelijk en zullen je persoonlijke gegevens niet zonder jouw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk. 
  5. We vinden het belangrijk om je de credits te geven die je toekomen – en die je wenst. We zullen je naam bij een publicatie over de kwetsbaarheid alleen vermelden als je daarmee instemt. 
  6. Als dank voor je hulp bieden wij een beloning aan voor elke melding van een ons nog onbekend beveiligingsprobleem. De grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding met in ieder geval een pak Leidsche koeken.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost. 

Hall of fame:

Sabarinath Panikken, reports: 1 (2023)

Bronvermelding:
Floor Terra, Responsible Disclosure, Bits of Freedom, Coordinated Vulnerability Disclosure, 2018, NCSC – Leidraad Coordinated Vulnerability Disclosure, Freedom Internet, Responsible disclosure beleid

Important links
regulations & protocols
Privacy & AVG

Visiting address
Van Vollenhovenkade 15
2313 GG Leiden
Route beschrijving

©2024 - IS Leiden

scol-scholen