Verantwoorde openbaarmaking (responsible disclosure)

De spelregels

De melder en de gemeente houden zich samen aan de volgende CVD-spelregels (Coordinated Vulnerability Disclosure):

  1. Een zwakke plek in een van onze systemen kan gemeld worden door onderstaand formulier in te vullen (mag in het Engels of Nederlands), met een goede omschrijving zodat wij de kwetsbaarheid kunnen reproduceren.
  2. Het vinden van kwetsbaarheden kan gepaard gaan met het overtreden van de wet. Uitgangspunt is dat de gemeente in principe geen aangifte doet of andere juridische stappen onderneemt als er binnen de gestelde voorwaarden (deze spelregels) onderzocht of gemeld wordt.
  3. De melder is verantwoordelijk voor het eigen handelen en de wijze waarop de kwetsbaarheid ontdekt is.
  4. Het is de eigen verantwoordelijkheid van de melder om op de hoogte te zijn van de CVD-spelregels.
  5. Mocht de melder toch besluiten af te wijken van de CVD-spelregels, door bijvoorbeeld de kwetsbaarheid volledig openbaar te maken (full disclosure) of te verkopen of er zelf gebruik van te maken (non-disclosure), dan zal alsnog aangifte gedaan worden.
  6. De communicatie tussen melder en de coördinator van de gemeente is vertrouwelijk.
  7. Toegestaan onderzoek: alle openbare ingangen van de gemeente; websites, e-mails en teams/sharepoint.
  8. Het is niet toegestaan om de fysieke beveiliging aan te vallen, social engineering, distributed denial of service, spam of applicaties van derden.
  9. Na het melden van een kwetsbaarheid draagt een melder de verantwoordelijkheid over aan de gemeente Katwijk.
  10. De melder ontvangt een ontvangstbevestiging van de melding, tenzij het om een anonieme melding gaat.
  11. Indien mogelijk (niet anoniem) worden in overleg met de melder afspraken gemaakt over eventuele bekendmakingstermijnen.
  12. De melder wordt binnen 28 dagen geïnformeerd over het verloop van de melding.
  13. Met de melder worden afspraken gemaakt over het breder verspreiden van de melding.
  14. Om de onderzoekers met de beste meldingen extra te bedanken plaatst gemeente Katwijk deze op de ‘Wall of Fame’ onderaan deze pagina.
Notification of vulnerability (Verwijst naar een externe website)

Mocht er onduidelijkheid bestaan over onze CVD, dan volgen we wat het NCSC hierover heeft geschreven in de brochure: Leidraad Coordinated Vulnerability Disclosure(Verwijst naar een externe website)

Coordinated Vulnerability Disclosure (CVD) Rules

The CVD rules are an addition to existing information security measures.

Between the reporting party and the municipality (gemeente Katwijk), we adhere to the following CVD rules:

  1. A weak spot in one of our systems may be reported by filling out the form 'Notification of vulnerability' (button below), with a good description so that we can reproduce the vulnerability.
  2. Finding vulnerabilities may involve breaking the law. The starting point is that, in principle, the municipality will not file a report or take any other legal action if an investigation or report is made within the set conditions, these rules.
  3. The reporter is responsible for his own actions and the way in which the vulnerability was discovered.
  4. It is the reporter's own responsibility to be aware of the CVD rules.
  5. Should the reporter decide to deviate from the CVD rules, for example by fully disclosing the vulnerability (full disclosure) or selling it or using it themselves (non-disclosure), the police may be notified.
  6. The correspondence between the reporter and the coordinator of the municipality is confidential.
  7. Permitted research: all public access systems of the municipality; websites, e-mails and teams/sharepoint.
  8. You may not use attacks against physical security, social engineering, distributed denial of service, spam or third-party applications.
  9. After reporting a vulnerability, a reporter transfers responsibility to the municipality of Katwijk.
  10. The reporter receives a confirmation of receipt, unless it concerns an anonymous report.
  11. If possible (not anonymously), agreements will be made in consultation with the reporter about any disclosure periods.
  12. The reporter will be informed within 28 days about the progress of the report.
  13. Agreements are made with the reporter about the wider dissemination of the report.
  14. To thank the researchers with the best reports, the municipality of Katwijk will place them on the 'Wall of Fame' at the bottom of this page.
Notification of vulnerability (Verwijst naar een externe website)

If there is an uncertainty within our CVD, we will follow the guidline NCSC: Coordinated Vulnerability Disclosure(Verwijst naar een externe website)

Scroll de tabel horizontaal om meer te zien
Naam:
Shehzad Ahmad