Bij VI Company beschouwen we de beveiliging van onze systemen als een topprioriteit. Maar ongeacht hoeveel moeite we in de systeembeveiliging steken, kunnen kwetsbaarheden toch nog glippen. Als u een kwetsbaarheid ontdekt, zouden we het op prijs stellen dit aan ons te melden, zodat we zo snel mogelijk stappen kunnen ondernemen om het aan te pakken. We zouden u willen vragen ons te helpen onze klanten en onze systemen beter te beschermen.

In onze mening is de praktijk van 'verantwoordelijke onthulling' de beste manier om het internet te beschermen. Het stelt individuen in staat om bedrijven zoals VI Company te informeren over eventuele beveiligingsbedreigingen voordat ze de informatie openbaar maken. Dit geeft ons een kans om het probleem op te lossen voordat criminele elementen zich ervan bewust worden.

Verantwoordelijke onthulling is de beste praktijk binnen de industrie, en we raden het aan als procedure voor iedereen die onderzoek doet naar beveiligingskwetsbaarheden.

Geen uitnodiging om ons netwerk actief te scannen

Ons beleid voor Verantwoordelijke Onthulling is geen uitnodiging om ons netwerk of onze systemen actief te scannen op zwakheden. We monitoren ons bedrijfsnetwerk. Daarom zullen we waarschijnlijk uw scan opmerken, wat ons Eerste Respons Team (FRT) zal onderzoeken, wat mogelijk leidt tot onnodige kosten.

Juridische vervolging

Tijdens uw onderzoek kan het zijn dat u acties onderneemt die wettelijk verboden zijn. We adviseren u dit niet te doen, maar als u aan de voorwaarden in deze overeenkomst voldoet, zullen we geen juridische stappen tegen u ondernemen als VI Company. De Officier van Justitie heeft echter altijd het recht om te beslissen of hij u al dan niet vervolgt.

Regels voor engagement

We zijn geïnteresseerd in het horen van beveiligingsproblemen op onze eigen webservice. Dit betekent dat onze klanten zijn uitgesloten van deze reikwijdte, tenzij expliciet anders vermeld. Om in aanmerking te komen voor een beloning, dient u erop te letten dat we doorgaans vereisen dat het probleemrapport enige echte beveiligingsimpact heeft in een realistisch scenario. Dit betekent niet dat u problemen volledig hoeft te exploiteren, geef gewoon de informatie die u heeft, en wij zullen uw rapport analyseren en conclusies trekken over de impact.

Er zijn een aantal dingen die we u expliciet vragen niet te doen:

  • Bij experimenteren, aanval alleen testaccounts die u beheert. Een proof of concept die onnodig de accounts van andere eindgebruikers of werknemers van VI Company inhoudt, kan ongeldig worden verklaard.

  • Test de fysieke beveiliging van VI Company kantoren, werknemers, apparatuur, enz. niet.

  • Test niet met behulp van sociale-engineering technieken (phishing, vishing, enz.)

  • Voer geen DoS- of DDoS-aanvallen uit.

  • Val onze eindgebruikers op geen enkele manier aan of neem deel aan de handel in gestolen gebruikersgegevens.

  • Misbruik de gevonden kwetsbaarheid niet door:

  • Meer gegevens te downloaden dan nodig is

  • Gegevens te wijzigen of te verwijderen

  • De kwetsbaarheid te delen totdat deze is opgelost

Onze verzoek aan u:

  • Rapporteer uw bevinding zo snel mogelijk door een e-mail te sturen naar: security@vicompany.nl.

  • Voorzie ons van voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Gewoonlijk zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar complexe kwetsbaarheden kunnen verdere uitleg vereisen.

  • Geef ons minimaal 30 dagen de tijd om het probleem op te lossen voordat u het publiek maakt met de kwetsbaarheid.

Wat wij beloven:

  • We zullen binnen 3 werkdagen reageren op uw rapport met onze evaluatie van het rapport en een verwachte oplossingsdatum

  • Als u de bovenstaande instructies heeft opgevolgd, zullen we geen juridische stappen tegen u ondernemen met betrekking tot het rapport

  • We zullen uw rapport met strikte vertrouwelijkheid behandelen en uw persoonlijke gegevens niet aan derden doorgeven zonder uw toestemming

  • We zullen u op de hoogte houden van de voortgang van het oplossen van het probleem

  • In de openbare informatie over het gerapporteerde probleem, zullen we uw naam vermelden als de ontdekker van het probleem (tenzij u anders wenst)

  • Als blijk van onze waardering voor uw hulp, bieden we een beloning voor elke melding van een beveiligingsprobleem dat nog niet bekend was bij ons. Het bedrag van de beloning zal worden bepaald op basis van de ernst van de lek en de kwaliteit van het rapport. De minimale beloning zal €75 zijn.

Van toepassing op:

https://www.vicompany.nl/

De volgende soorten bevindingen zijn specifiek uitgesloten van de beloning:

  • Descriptieve foutmeldingen (bijv. Stack Traces, applicatie- of serverfouten).

  • HTTP 404-codes/pagina's of andere HTTP non-200 codes/pagina's.

  • Beveiligingsheaderproblemen zonder proof of concept.

  • Verslagen over subdomeinen zoals https://jobs.vicompany.nl

ANDERE DOCUMENTEN

Regels en afspraken
Privacyverklaring
Responsible disclosure
Terug naar boven
Homepage

MODULES

MARKTINZICHTEN

OVER

OVERIG

VOLG ONS

Dutch (Netherlands)

© VI Company Group, 2007 - 2026. Alle rechten voorbehouden.

Regels en afspraken

Responsible disclosure

Cookiesbeleid

Privacyverklaring

MODULES

MARKTINZICHTEN

OVER

OVERIG

VOLG ONS

Dutch (Netherlands)

© VI Company Group, 2007 - 2026. Alle rechten voorbehouden.

Regels en afspraken

Responsible disclosure

Cookiesbeleid

Privacyverklaring

MODULES

MARKTINZICHTEN

OVER

OVERIG

VOLG ONS

Dutch (Netherlands)

© VI Company Group, 2007 - 2026. Alle rechten voorbehouden.

Regels en afspraken

Responsible disclosure

Cookiesbeleid

Privacyverklaring