Bij VI Company beschouwen wij de beveiliging van onze systemen als een topprioriteit. Hoeveel moeite we ook doen om de beveiliging van het systeem te verbeteren, kwetsbaarheden kunnen toch doorsijpelen. Als je een kwetsbaarheid ontdekt, willen we hier graag meer over weten zodat we stappen kunnen ondernemen om deze zo snel mogelijk aan te pakken. We willen je vragen ons te helpen onze klanten en onze systemen beter te beschermen.
Naar onze mening is de praktijk van ‘responsible disclosure’ de beste manier om internet te beveiligen. Het stelt individuen in staat bedrijven als VI Company op de hoogte te stellen van beveiligingsrisico’s voordat ze de informatie openbaar maken. Dit geeft ons een vechtkans om het probleem op te lossen voordat de crimineel ingestelde mensen zich ervan bewust worden.
Responsible Disclosure is de beste praktijk in de branche en we bevelen het aan als een procedure voor iedereen die omgaat met kwestbaarheden.
Geen uitnodiging om ons netwerk actief te scannen
Ons Responsible Disclosure beleid is geen uitnodiging om ons netwerk of onze systemen actief te scannen op tekortkomingen. We houden ons bedrijfsnetwerk in de gaten. Daarom nemen we waarschijnlijk je scan op, die ons First Response Team (FRT) zal onderzoeken, wat mogelijk tot onnodige kosten leidt.
Gerechtelijke vervolging
Tijdens jouw onderzoek kan het mogelijk zijn dat je acties uitvoert die bij wet verboden zijn. Wij adviseren je om dit niet te doen, maar als je aan de voorwaarden in deze overeenkomst hebt voldaan, zullen we geen juridische stappen ondernemen tegen jou als VI Company. De officier van justitie heeft echter altijd het recht om te beslissen om jou wel of niet te vervolgen.
Regels
We zijn geïnteresseerd in beveiligingsproblemen in onze eigen webservices. Dit betekent dat onze klanten zijn vrijgesteld van deze scope tenzij expliciet wordt vermeld dat ze dat niet zijn. Als je in aanmerking wilt komen voor een beloning, moet u er rekening mee houden dat het probleemrapport doorgaans een daadwerkelijke beveiligingsimpact moet hebben in een realistisch scenario. Dit betekent niet dat je de problemen volledig moet benutten, als je ons zoveel mogelijk informatie verschaft met duidelijke scenario’s dan zullen wij jouw rapport analyseren en conclusies trekken over de impact.