Responsible disclosure

Bij Waterschap Rivierenland vinden we de veiligheid van onze systemen, en de gegevens die zich op die systemen bevinden, erg belangrijk. U kunt ons daarbij helpen.

Ondanks dat we continue werken aan het in stand houden en verbeteren van deze veiligheid kan het toch voorkomen dat er in onze systemen kwetsbaarheden voorkomen. Mocht u zo’n kwetsbaarheid in onze systemen hebben ontdekt dan horen wij dat natuurlijk graag, zodat we zo snel mogelijk maatregelen kunnen treffen om onze systemen weer veilig te maken.

Wij vragen u:

  • Uw bevindingen versleuteld te mailen naar CERT-WM. U kunt hiervoor PGP gebruiken, of een beveiligd 7zip bestand. Contactgegevens CERT-WM: e-mail: cert@hetwaterschapshuis.nl /PGP: 0xE55ECB98572482A5. Mobiel/Signal: +31651256522
  • De kwetsbaarheid niet te misbruiken door data te downloaden, te veranderen of verwijderen.
  • De kwetsbaarheid niet met anderen te delen tot het is opgelost en alle, eventueel door u verkregen, vertrouwelijke gegevens te wissen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

Van ons kunt u verwachten:

  • Dat wij binnen 3 werkdagen een ontvangstbevestiging van uw melding sturen.
  • Dat wij binnen 30 dagen inhoudelijk op uw melding reageren met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Dat wij, betreffende de melding, geen juridische stappen tegen u ondernemen, als u zich aan de bovenstaande voorwaarden heeft gehouden.Dat wij uw melding vertrouwelijk zullen behandelen en uw persoonlijke gegevens niet zonder uw toestemming met derden zullen delen tenzij dat noodzakelijk is om een wettelijke verplichting na te komen.
  • Dat wij u op de hoogte houden van de voortgang van het oplossen van het probleem.
  • Dat wij in berichtgeving over het gemelde probleem, indien u dit wenst, uw naam zullen vermelden als de ontdekker.
  • Dat wij u als dank voor uw hulp een passende beloning zullen aanbieden voor elke melding van een bij ons nog onbekend beveiligingsprobleem op onze systemen. De aard en grootte van de beloning bepalen wij aan de hand van de ernst van het lek en de kwaliteit van de melding.

Wij streven ernaar om alle problemen zo snel mogelijk op te lossen en worden graag betrokken bij een eventuele publicatie over het probleem nadat het is opgelost.