Res­pon­si­ble Disclosure

Bij Knox vin­den we de vei­lig­heid van onze sys­te­men, ons net­werk en onze pro­duc­ten van het groot­ste belang. Ondanks onze gro­te zorg­vul­dig­heid voor de bevei­li­ging van onze sys­te­men, kun­nen er nog steeds zwak­ke plek­ken blij­ven bestaan. Als u zo’n zwak­te hebt gevon­den, wil­len we daar zo snel moge­lijk over horen, zodat we zo snel moge­lijk pas­sen­de maat­re­ge­len kunnen nemen.

Zwak­ke plek­ken kun­nen op twee manie­ren wor­den ont­dekt: u kunt per onge­luk iets tegen­ko­men tij­dens het nor­ma­le gebruik van een digi­ta­le omge­ving, of u kunt expli­ciet uw best doen om ze te vinden.

Ons Res­pon­si­ble Dis­clo­su­re beleid is geen open sol­li­ci­ta­tie” om ons bedrijfs­net­werk actief te scan­nen om zwak­ke plek­ken te ont­dek­ken. Wij hou­den zelf toe­zicht op ons bedrijfs­net­werk. Dit bete­kent dat de kans groot is dat er een scan wordt gede­tec­teerd en dat er een onder­zoek wordt uit­ge­voerd door ons IT-team, wat kan lei­den tot onnodige kosten.

U kunt ech­ter wel wor­den uit­ge­no­digd om actief te zoe­ken naar kwets­baar­he­den in onze pro­duc­ten in een spe­ci­a­le omge­ving via ons Bug Boun­ty Pro­gram op Hac­ke­r­O­ne. Als u uit­ge­no­digd wil wor­den voor ons pro­gram­ma, kunt u een ver­zoek stu­ren naar security@​joinknox.​com met uw Hac­ke­r­O­ne-gebrui­kers­naam. Ande­re actie­ve zoek­pro­gram­ma’s voor kwets­baar­he­den zijn alleen toe­ge­staan na schrif­te­lij­ke toe­stem­ming van Knox Ser­vi­ces. Uit ver­ant­woor­ding naar onze cli­ën­ten wil­len we niet oproe­pen tot hack-pogin­gen op hun infra­struc­tuur. Ech­ter, ook hier­voor geldt dat we zo snel moge­lijk van u wil­len ver­ne­men zodra er kwets­baar­he­den wor­den gevon­den, zodat wij deze ade­quaat kunnen verhelpen.

Wij wil­len graag met u samen­wer­ken om onze cli­ën­ten en onze sys­te­men beter te kunnen beschermen.

Dit vra­gen wij u:

  • E‑mail uw bevin­din­gen zo snel moge­lijk naar security@​joinknox.​com.
  • Maak geen mis­bruik van de kwets­baar­heid, bij­voor­beeld door het down­lo­a­den, bewer­ken of ver­wij­de­ren van gege­vens. Wij nemen uw mel­ding altijd seri­eus en onder­zoe­ken even­tu­e­le ver­moe­dens van een kwets­baar­heid, ook zonder bewijs.
  • Deel het pro­bleem niet met ande­ren tot­dat het is opgelost.
  • Maak geen gebruik van aan­val­len op fysie­ke bevei­li­ging, van soci­al engi­nee­ring of hac­king tools, zoals vulnerability scanners. 
  • Geef ons vol­doen­de infor­ma­tie om het pro­bleem te kun­nen repro­du­ce­ren, zodat wij het zo snel moge­lijk kun­nen oplos­sen. Meest­al is het IP-adres of de URL van het getrof­fen sys­teem en een omschrij­ving van de kwets­baar­heid vol­doen­de, maar bij com­plexe­re kwets­baar­he­den kan meer nodig zijn.

Wat we beloven:

  • Wij zul­len bin­nen drie werk­da­gen op uw rap­port rea­ge­ren met onze eva­lu­a­tie van het rap­port en een ver­wach­te datum voor een oplossing.
  • Wij behan­de­len uw mel­ding ver­trou­we­lijk en zul­len uw per­soon­lij­ke gege­vens niet zon­der uw toe­stem­ming met der­den delen. Een uit­zon­de­ring hier­op is poli­tie en jus­ti­tie, in geval van aan­gif­te of indien gege­vens worden opgeëist.
  • Wij hou­den u op de hoog­te van de voort­gang van de oplos­sing van het probleem.
  • In de com­mu­ni­ca­tie over het gemel­de pro­bleem ver­mel­den wij, indien gewenst, uw naam als de ont­dek­ker van het probleem.
  • Het is helaas niet moge­lijk bij voor­baat juri­di­sche stap­pen tegen u uit te slui­ten. We wil­len elke situ­a­tie apart kun­nen afwe­gen. We ach­ten ons zelf moreel ver­plicht om aan­gif­te te doen op moment dat we het ver­moe­den heb­ben dat de zwak­heid of gege­vens mis­bruikt wor­den, of dat u ken­nis over de zwak­heid met ande­ren hebt gedeeld. U kunt er op reke­nen dat een toe­val­li­ge ont­dek­king in onze onli­ne-omge­ving niet tot aan­gif­te zal leiden.
  • Als dank voor uw hulp bie­den wij een belo­ning voor elke mel­ding van een vei­lig­heids­pro­bleem dat ons niet bekend is. We bepa­len de waar­de van de belo­ning op basis van de ernst van de over­tre­ding en de kwa­li­teit van het rapport.

Wij stre­ven er naar om alle pro­ble­men zo snel moge­lijk op te los­sen, alle betrok­ken par­tij­en op de hoog­te te hou­den en wij wor­den graag betrok­ken bij een even­tu­e­le publi­ca­tie over het pro­bleem, nadat het is opgelost.

Met dank aan Floor Ter­ra voor zijn voor­beeld­tekst op www​.res​pon​si​b​le​dis​clo​su​re​.nl