Политика ответственного разглашения

Kiwa считает чрезвычайно важной безопасность своих систем и веб-сайтов с информационно-коммуникационными технологиями (ИКТ). Поэтому мы стремимся обеспечить самый высокий уровень безопасности. Несмотря на нашу особую заботу о безопасности коммуникаций, они все еще могут быть уязвимы. Мы просим вас не злоупотреблять этими уязвимостями, а сообщать о них, чтобы мы могли предпринять необходимые шаги. 

Вы нашли уязвимость на наших веб-сайтах или в любых других наших (онлайн) системах? Пожалуйста, сообщите об этом как можно скорее. 

Мы хотели бы работать с вами, чтобы лучше защитить наши системы и предотвратить уязвимости в кратчайшие сроки. Несмотря на вышесказанное, наша ответственная политика обнаружения уязвимостей не может рассматриваться как приглашение к активному поиску слабых сторон в нашей корпоративной сети.

 

Предоставить информацию об уязвимости  
Свяжитесь с нами по электронной почте, если вы обнаружите уязвимость. Пожалуйста, имейте это в виду:

  • Сообщите об уязвимостях как можно быстрее, отправив электронное письмо на адрес responsibledisclosure@kiwa.nl
  • Предоставте нам достаточно информации, чтобы мы могли воспроизвести уязвимость, которая позволит нам решить ее как можно скорее.в большинстве случаев достаточно указать IP-адрес (или URL-адрес) и описание уязвимости уязвимой системы, хотя в случае сложных уязвимостей может потребоваться дополнительная информация.
  • Включите вашу контактную информацию (адрес электронной почты или номер телефона), чтобы мы могли связаться с вами.
  • Не делитесь информацией об уязвимостях других людей до ее устранения.
  • Поступайте ответственно с вашими знаниями об уязвимости.Не предпринимайте никаких дополнительных действий, которые не являются необходимыми для демонстрации уязвимости.

Соответствует ли ваше сообщение этим условиям? Тогда ваши действия не будут иметь юридических последствий.

 

Не злоупотребляйте безопасностью 
Если вы обнаружите слабость, не злоупотребляйте ею, например:

  • установка вредоносного программного обеспечения;
  • копирование, изменение или удаление данных в системе или создание списка каталогов;
  • внесение изменений в систему;
  • множественный доступ к системе или доступ к другим;
  • двигаться вбок или глубже в наши системы;
  • получение доступа к нашим системам с помощьюатак Brute Force выполнения;
  • используя отказ в обслуживании (DoS) или социальную инженерию.

Что мы будем делать с твоим сообщением? 
Вы сообщаете об уязвимости в одной из наших систем ИКТ или на веб-сайтах? Мы обработаем ваше сообщение следующим образом:

  • Вы получите подтверждение о получении в течение одного рабочего дня.
  • Мы ответим на ваш отчет в течение пяти рабочих дней.Наш ответ будет включать оценку вашего отчета и информацию о предполагаемом времени предотвращения уязвимости.
  • Мы будем информировать вас о прогрессе в решении проблемы.
  • Мы будем рассматривать ваше сообщение конфиденциально и не будем передавать ваши личные данные довереннымлицам без вашего разрешения (за исключением случаев, предусмотренных законом или постановлениями суда).


Решение Уязвимости 
Мы решим сообщенные проблемы безопасности как можно быстрее, но в течение более 60 дней. Вместе с вами (докладчиком) мы решим, как (и следует ли) сообщить о проблеме. Мы сообщим о проблеме только после ее устранения.  
 

Изменения
Kiwa может внести изменения в ответственную политику обнаружения уязвимостей, если для этого есть причина. Текущая версия политики всегда будет доступна на этой странице. 
 

 

Рейсвик, Нидерланды, декабрь 2018 г.