Coordinated Vulnerability Disclosure Statement

Heb je een fout of een kwetsbaarheid ontdekt bij Floriday? Dan horen wij dit graag. 
Bij Floriday staat de veiligheid van onze systemen namelijk hoog in het vaandel en wij willen een zo veilig mogelijk klimaat scheppen voor onze kwekers en kopers. 

Veiligheid staat hoog in het vaandel

Toch kan het gebeuren dat er zwakke plekken in de beveiliging zitten en dat onze systemen daardoor kwetsbaar zijn. Hiervoor hebben wij een Coordinated Vulnerability Disclosure procedure. Heb je een fout of een kwetsbaarheid ontdekt? Wij horen dit graag van je!

Dit vragen wij

Jouw bevinding toe te sturen via Zerocopter.
Graag vragen wij je gebruik te maken van de CVSS calculator bij het opvoeren van de bevinding.

Do's

  • Doe een melding zo snel als mogelijk, om te voorkomen dat kwaadwillenden de kwetsbaarheid ook vinden en er misbruik van maken.
  • Doe een melding op een vertrouwelijke manier bij de organisatie om te voorkomen dat anderen ook toegang kunnen krijgen tot deze informatie.
  • Geef voldoende informatie om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Dont's

  • Onthul de kwetsbaarheid of probleem niet aan anderen totdat het is opgelost.
  • Plaats geen eigen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen. Daarmee kan aanvullende schade worden aangericht en onnodige veiligheidsrisico’s worden gelopen.
  • Misbruik een kwetsbaarheid niet verder dan noodzakelijk is om de kwetsbaarheid vast te stellen.
  • Kopieer, wijzig of verwijder geen gegevens van het systeem. Een alternatief hiervoor is het maken van een directory listing van een systeem.
  • Breng geen veranderingen aan in het systeem.
  • Verkrijg niet herhaaldelijk toegang tot het systeem en deel de toegang niet met anderen.
  • Maak geen gebruik van bruteforce attacks, social engineering, aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden om toegang te krijgen tot systemen.

Dit beloven wij

  • Wij reageren binnen 5 dagen op jouw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als je je aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen je ondernemen betreffende de melding.
  • Wij behandelen jouw melding vertrouwelijk en zullen jouw persoonlijke gegevens niet zonder jouw toestemming met derden delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem of anoniem is mogelijk.
  • Wij houden je op de hoogte van de voortgang van het oplossen van het probleem,
  • In berichtgeving over het gemelde probleem zullen wij, indien je dit wenst, jouw naam vermelden als de ontdekker.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en wij worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.

Alle rechten voorbehouden.