Onvio draagt bij aan het vergroten van de weerbaarheid en veiligheid van haar klanten. Daarom vinden wij het essentieel dat onze eigen ICT-systemen veilig zijn. Om dit te bereiken nemen wij maatregelen waarmee een hoge beveiliging gestreefd wordt. Desondanks kan het toch voorkomen dat er een zwakke plek in één van onze systemen is.
Kwetsbaarheden in ICT-systemen van Onvio
Wanneer u een zwakke plek in één van onze ICT-systemen vindt, horen wij dit graag. Wij nemen uw melding in behandeling en nemen zo snel mogelijk adequate maatregelen nemen om de kwetsbaarheid te verhelpen. Voor het melden van kwetsbaarheden in onze systemen hanteren wij enkele afspraken.
Wij vragen u:
- Uw bevindingen te mailen naar melding@onvio.nl.
- Heldere informatie te verstrekken waarmee onze specialisten het probleem kunnen reproduceren. Denk hierbij aan zaken zoals de betreffende URL of het IP van het systeem en een omschrijving van de kwetsbaarheid.
- Tenminste uw emailadres of telefoonnummer achter te laten zodat we contact met u kunnen opnemen om meer informatie op te vragen indien nodig.
- De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
- De melding en informatie over de kwetsbaarheid niet met anderen te delen en hier verantwoordelijk mee om te gaan.
- Geen handelingen te verrichten die niet noodzakleijk zijn om het probleem aan te tonen.
Wij vragen u tenminste de volgende handelingen te vermijden:
- Het plaatsen van malware.
- Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
- Het aanbrengen van veranderingen in het systeem.
- Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
- Het gebruik maken denial-of-service of social engineering.
Afspraken waar u ons aan mag houden:
- Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van Onvio aan bovenstaande voorwaarden voldoet, zal Onvio geen juridische consequenties verbinden aan deze melding.
- Onvio behandelt een melding vertrouwelijk en deelt persoonlijke gegevens, niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
- Onvio reageert binnen drie werkdagen op een melding met een ontvangstbevestiging en de beoordeling van de melding en een verwachte datum voor een oplossing.
- Onvio houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
- Onvio lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.