BSB Verzekeringen heeft een responsible disclosure-beleid. Wij hebben als financieel dienstverlener een grote focus op online privacy en veiligheid, en daar werken we als bedrijf graag aan mee. We werken dan ook graag samen met hackers en beveiligingsonderzoekers om kwetsbaarheden op te lossen. Als je een zwakke plek hebt gevonden, horen we dat graag. Dan kunnen we zo snel mogelijk maatregelen treffen.
Let op Een melding kan ook anoniem. In dat geval kunnen wij geen contact met je opnemen voor een eventuele beloning.
Wij vragen van jou:
• Mail je bevindingen naar
ict@bsbverzekeringen.nl• Geef een zo gedetailleerd mogelijke beschrijving van de kwetsbaarheid, indien mogelijk inclusief log-files;
• Laat je contactgegevens achter zodat wij sneller contact kunnen opnemen over een eventuele oplossing;
Wij sturen zo snel mogelijk een ontvangstbevestiging en een periode waarin wij verwachten het lek eventueel op te lossen. De melding wordt vertrouwelijk behandeld, en we houd je op de hoogte van de vorderingen van het probleem;
• Mogelijk neemt één van onze ontwikkelaars contact op met eventuele vervolgvragen;
Ga verantwoordelijk om met de kwetsbaarheid, door die niet voortijdig te publiceren, door geen backdoors te plaatsen, geen brute-force-aanvallen op onze servers uit te voeren of gegevens te verwijderen of te kopiëren. Wanneer dat wel gebeurt, kunnen wij mogelijk aangifte doen van misbruik;
• Gebruik geen brute-force technieken of social engineering;
• Wijzig geen gegevens of instellingen op onze systemen;
• Wis de vertrouwelijke gegevens die je hebt verkregen via het lek na het dichten van het lek.
PublicatieWij vragen jou om in ieder geval niets van de kwetsbaarheid te publiceren totdat onze ontwikkelaars het probleem hebben opgelost. Daarna mag je een kwetsbaarheid gerust op je blog of site vermelden.
Wij zetten daarnaast jouw naam graag op onze Hall of Fame van iedereen die heeft geholpen met het verhelpen van een kwetsbaarheid.
BeloningWe zijn dankbaar voor iedereen die ons helpt om kwetsbaarheden in onze systemen op te lossen, en delen dan ook graag een beloning uit. Wij zijn echter niet verplicht tot het uitdelen van een beloning.
De grootte van de beloning bepalen wij aan de hand van de ernst van de lek en de kwaliteit van de melding. Iedere melding (ook die waar wij geen beloning overwegen) word gepubliceerd in onze ‘Hall of Fame’, behalve als de melder hier bezwaar tegen heeft.
VersieDit is het BSB Verzekeringen Responsible Disclosure Beleid van 1 juli 2020. We mogen dit beleid aanpassen als we dat nodig vinden. Als je een melding doet, doe je die onder de voorwaarden zoals ze op dat moment gepubliceerd waren. Zo weten we allebei waar we aan toe zijn.
BronDeze tekst is gebaseerd op de Leidraad Responsible Disclosure van het NSCS en het voorbeeldmodel zoals beschikbaar is op
responsibledisclosure.nl