Coordinated Vulnerability Disclosure

De gemeente Meppel hecht veel waarde aan de beveiliging van haar systemen. Hoewel de gemeente volop aandacht heeft voor de beveiliging van haar ICT-systemen kan er toch een zwakke plek aanwezig zijn. Wanneer u een zwakke plek in één van onze systemen ontdekt dan horen wij dit graag van u, zodat wij snel gepaste maatregelen kunnen nemen. Door het maken van een melding verklaart u dat u akkoord gaat met de onderstaande afspraken over Coordinated Vulnerability Disclosure en zal de gemeente Meppel uw melding volgens onderstaande afspraken afhandelen.

Wij vragen u om:

  • De gevonden kwetsbaarheid aan ons te melden via het online formulier
  • Voldoende informatie te geven om de kwetsbaarheid te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen.
  • Wanneer u dit wilt, contactgegevens achter te laten zodat wij contact met u kunnen opnemen om samen te werken aan het oplossen van de kwetsbaarheid.
  • Aan te geven hoe u de kwetsbaarheid hebt gevonden en aan te geven wat gedaan kan worden om de kwetsbaarheid te verhelpen. Beperkt u zich daarbij wel tot verifieerbare feiten die betrekking hebben op de kwetsbaarheid en vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings-)producten.
  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid in te dienen.

Wat u van ons mag verwachten:

  • Binnen 5 werkdagen reageren wij op uw melding met onze beoordeling en de verwachte oplossingsdatum.
  • We zullen uw melding vertrouwelijk behandelen en uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat wettelijk gezien of door een gerechtelijke uitspraak nodig is. Melden onder een pseudoniem is mogelijk.
  • Wij lossen het door u gemelde beveiligingsprobleem zo snel mogelijk op, wij houden u op de hoogte van de voortgang van de oplossing van de kwetsbaarheid.
  • In onderling overleg kan bepaald worden of en op welke wijze over het probleem wordt gepubliceerd nadat het is opgelost. In berichtgeving over de kwetsbaarheid vermelden wij – als u dat wenst – uw naam als ontdekker. In alle andere gevallen blijft u anoniem.
  • We zullen geen juridische stappen tegen u ondernemen als u zich aan onderstaande voorwaarden houdt. Als blijkt dat u een onderstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
  • We delen de melding met de Informatiebeveiligingsdienst voor gemeenten (IBD).

Voorwaarden:

  • U maakt informatie over het beveiligingsprobleem niet openbaar voordat de kwetsbaarheid is verholpen, u deelt ook geen informatie met derden voordat de kwetsbaarheid is verholpen.
  • U verricht geen handelingen die verder gaan dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen of te melden.
  • U maakt geen gebruik van social engineering of aanvallen op fysieke beveiliging om op die manier toegang te krijgen tot het systeem.
  • U plaatst geen eigen backdoor in een informatiesysteem om vervolgens daarmee de kwetsbaarheid aan te tonen.
  • U brengt geen veranderingen in het systeem aan.
  • U buit de gevonden kwetsbaarheid niet uit, op wat voor manier dan ook.
  • U maakt geen gebruik van malware, (distributed) denial of service ((D)DoS-aanvallen), spam of 'bruteforcen' van toegang tot systemen.
  • Het op wat voor (andere) manier dan ook misbruik maken van de kwetsbaarheid is strikt verboden.
  • wij - als u dat wenst - uw naam als ontdekker.

Meer informatie

Gemeente Meppel streeft ernaar alle kwetsbaarheden zo snel mogelijk op te lossen. Nadat de kwetsbaarheid is opgelost en u hierover wilt publiceren, zijn wij graag vooraf betrokken bij deze publicaties.