Spring naar hoofdinhoud
← Terug naar home Security

Responsible Disclosure

De veiligheid van onze systemen en die van onze klanten nemen wij serieus. Ondanks de zorg die wij besteden aan de beveiliging van onze diensten kan het voorkomen dat er een kwetsbaarheid is. Meldt u die bij ons, dan pakken wij die zo snel mogelijk op.

Wat wij van u vragen

  • Mail uw bevinding zo snel mogelijk naar security@netgrid.nl.
  • Geef voldoende informatie mee om het probleem te reproduceren: URL, request, stappen, eventueel een proof of concept.
  • Laat contactgegevens achter zodat wij bij u terug kunnen komen (e-mail, eventueel telefoon of PGP-sleutel).
  • Maak geen misbruik van de kwetsbaarheid. Download niet meer data dan nodig om het probleem aan te tonen.
  • Deel het probleem niet met anderen voordat het is opgelost.

Wat u niet mag doen

  • Social engineering, phishing of fysieke aanvallen op onze medewerkers, klanten of leveranciers.
  • (Gedistribueerde) denial-of-service aanvallen of load tests zonder schriftelijke toestemming.
  • Geautomatiseerd scannen van onze infrastructuur met een hoog volume, spam of brute-force pogingen.
  • Gebruik maken van kwetsbaarheden verder dan nodig is om ze aan te tonen.
  • Data wijzigen of verwijderen, of de dienstverlening verstoren.

Wat u van ons mag verwachten

  • Wij reageren binnen drie werkdagen met een ontvangstbevestiging en een inhoudelijke eerste reactie.
  • Wij behandelen uw melding vertrouwelijk en delen uw gegevens niet met derden zonder uw toestemming.
  • Wij houden u op de hoogte van de voortgang en streven naar oplossing binnen 60 dagen, afhankelijk van complexiteit.
  • Wij vermelden u graag in onze hall of fame na coordinated disclosure, als u dat op prijs stelt.
  • Zolang u zich aan bovenstaande regels houdt, doen wij geen aangifte en stellen wij geen civiele claim in.

Scope

Deze regeling geldt voor alle systemen die aantoonbaar eigendom zijn van NetGrid B.V., waaronder netgrid.nl en onze klantportalen. Meldingen over systemen van derden (zoals netwerken van leveranciers) sturen wij door of verwijzen wij naar de juiste partij.

Buiten scope

  • Meldingen over ontbrekende best-practice headers zonder aantoonbare impact.
  • Theoretische kwetsbaarheden zonder werkende proof of concept.
  • Rapportages van geautomatiseerde scanners zonder analyse.
  • Beveiligingsinstellingen in e-mailverkeer (SPF, DKIM, DMARC) zonder aantoonbaar misbruik.

Geen beloning

Wij hebben geen bug bounty-programma met geldelijke beloningen. Wel waarderen wij elke serieuze melding en belonen we die met erkenning en waar passend een kleine attentie.

Contact

NetGrid B.V., Dwazziewegen 10, 9301 ZR Roden.
E-mail: security@netgrid.nl
Telefoon: 088 144 00 00

Dit beleid is gebaseerd op het NCSC Responsible Disclosure Leidraad. Wij kunnen het periodiek aanpassen; de laatste versie staat altijd op deze pagina.