Logo van Waterland dat doorverwijst naar de homepage van Waterland
Logo van Waterland dat doorverwijst naar de homepage van Waterland

Coordinated Vulnerability Disclosure

Bij Gemeente Waterland vinden wij de veiligheid van onze systemen zeer belangrijk. Ondanks onze zorgvuldige beveiliging kan het voorkomen dat er toch een zwakke plek wordt gevonden. 

Als u een zwakke plek in één van onze systemen ontdekt, horen wij dit graag. Zo kunnen we snel maatregelen treffen. Wij werken graag met u samen om burgers en systemen beter te beschermen. Je kunt een melding sturen via onderstaand formulier. Met het sturen van de melding gaat u akkoord met dit beleid. 

Wat te doen: 

  • Meld een kwetsbaarheid zo snel mogelijk om te voorkomen dat kwaadwillende deze vinden en misbruiken. 
  • Deel de melding op vertrouwelijke wijze met de organisatie om te voorkomen dat anderen toegang krijgen tot deze informatie. 
  • Verstrek voldoende informatie zodat wij het probleem kunnen reproduceren en snel kunnen oplossen. Het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid zijn meestal voldoende. Bij complexere kwetsbaarheden kan aanvullende informatie nodig zijn. 

Wat niet te doen: 

  • Het plaatsen van malware of een eigen backdoor .
  • Het openbaar maken of delen met derden van de kwetsbaarheid voordat deze is opgelost.  
  • Het kopiëren, wijzigen of verwijderen van gegevens van het systeem. Beperk je bijvoorbeeld tot het maken van een directory listing. 
  • Het aanbrengen van wijzigingen in de systemen. 
  • Het uitvoeren van Bruteforce-aanvallen behalve als het strikt noodzakelijk is om hiermee aan te tonen dat de beveiliging erg tekortschiet. 
  • Het gebruiken van social engineering, alleen als dit strikt noodzakelijk is om hiermee aan te tonen dat de beveiliging erg tekortschiet. 
  • Het gebruiken van technieken, die de beschikbaarheid of de integriteit van systemen verminderd of de systemen onbruikbaar maken. 

Wat is uitgesloten:  

  • Microsoft Office 365 omgeving. Kwetsbaarheden voor deze omgeving kunnen hierexterne-link-icoon gemeld worden. 

Wat wij beloven: 

  • Wij waarderen uw bijdrage zolang u aan alle bovenstaande voorwaarden voldoet. Als blijkt dat u zich niet aan één van bovenstaande voorwaarden heeft gehouden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te nemen. 
  • Wij reageren binnen 5 dagen op je melding met een beoordeling en een verwachte oplossingstermijn. 
  • Wij ondernemen geen juridische stappen tegen je als je je aan bovenstaande voorwaarden hebt gehouden. 
  • Wij behandelen je melding vertrouwelijk. Je persoonlijke gegevens delen we alleen met derden als dit wettelijk verplicht is. Je kunt ook onder een pseudoniem of anoniem melden. 
  • Wij houden je op de hoogte van de voortgang bij het oplossen van het probleem. 
  • Als je dit wenst, vermelden wij je naam als ontdekker in berichtgeving over het gemelde probleem. 
  • Wij lossen alle problemen zo snel mogelijk op, al dan niet in samenwerking met onze leveranciers. Ook willen we graag betrokken worden bij eventuele publicaties over het probleem nadat het is opgelost. 
  • Waar mogelijk kijken naar een passende beloning. 

Hall of Fame 

De gemeente Waterland bedankt de mensen hieronder voor het melden van hun bevindingen over onze systemen. Mede dankzij hun inspanningen is de beveiliging weer verbeterd. 

Deze mensen zijn al opgenomen in de Hall of Fameexterne-link-icoon.

English

At the municipality of Waterland, we consider the security of our systems to be very important. Despite our careful security measures, it's possible that a vulnerability might still be found. 

If you discover a vulnerability in one of our systems, we would like to hear about it. This allows us to take swift action. We are eager to work with you to better protect citizens and systems. You can send a report via the form below. By sending the report, you agree to this policy. 

What to do: 

  • Report a vulnerability as soon as possible to prevent malicious actors from finding and exploiting it. 
  • Share the report confidentially with the organization to prevent others from accessing this information. 
  • Provide sufficient information so that we can reproduce the problem and resolve it quickly. The IP address or URL of the affected system and a description of the vulnerability are usually sufficient. For more complex vulnerabilities, additional information may be needed. 

What not to do: 

  • Installing malware or your own backdoor. 
  • Making the vulnerability public or sharing it with third parties before it has been resolved. 
  • Copying, modifying, or deleting data from the system. Limit yourself, for example, to creating a directory listing. 
  • Making changes to the systems. 
  • Performing brute-force attacks except when strictly necessary to demonstrate that security is severely inadequate. 
  • Using social engineering, only when strictly necessary to demonstrate that security is severely inadequate. 
  • Using techniques that reduce the availability or integrity of systems or make the systems unusable. 

What is excluded: 

Microsoft Office 365 environment. Vulnerabilities for this environment can be reported hereexterne-link-icoon. 

What we promise: 

  • We appreciate your contribution as long as you comply with all the above conditions. If it appears that you have not adhered to one of the above conditions, we may still decide to take legal action against you. 
  • We will respond to your report within 5 days with an assessment and an expected resolution timeframe. 
  • We will not take legal action against you if you have adhered to the above conditions. 
  • We will treat your report confidentially. We will only share your personal data with third parties if legally required. You can also report under a pseudonym or anonymously. 
  • We will keep you informed of progress in resolving the issue. 
  • If you wish, we will mention your name as the discoverer in communications about the reported issue. 
  • We will resolve all problems as quickly as possible, if necessary, in collaboration with our suppliers. We would also like to be involved in any publications about the problem after it has been resolved. 
  • Where possible, we will consider an appropriate reward. 

Hall of Fame 

The municipality of Waterland thanks the people below for reporting their findings about our systems. Thanks in part to their efforts, security has improved. 

These people have already been included in the Hall of Fameexterne-link-icoon.

Webformulier
Veldnaam:Type veld:Toelichting:
Naam / Name Tekst (max 255 characters) 

Telefoonnummer / Phone

number 

Tekst (max 255 characters) 

Vraag of opmerking / Question

or remark 

Tekst 
Bijlage / Attachment Bestand upload Mogelijkheid om een bestand toe te voegen. 
E-mailadres Tekst (max 255 characters) 

U kunt het formulier indienen via:informatiebeveiliging@waterland.nl