Coordinated Vulnerability Disclosure

De gemeente Epe hecht veel belang aan de beveiliging van haar systemen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek in de systemen te vinden is. Wanneer u een zwakke plek in één van onze systemen ontdekt, horen wij dit graag van u, zodat wij snel gepaste maatregelen kunnen nemen. Wij willen graag met u samenwerken om onze klanten en onze systemen beter te kunnen beschermen.

Wat we vragen

Door het maken van een melding zal de gemeente Epe uw melding zoals hieronder beschreven behandelen.
 

  • Mail uw bevindingen naar gemeente@epe.nl. Als u uw bevindingen versleuteld wilt mailen maak dan gebruik van het mailadres incident@IBDgemeenten.nl. Versleutel de bevindingen met de PGP-sleutel van de IBD. Graag bij spoed en tijdens weekenden en feestdagen de melding via de IBD laten lopen.
  • Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen.
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Wij houden ons aanbevolen voor tips die ons helpen het probleem op te lossen. Beperkt u zich daarbij wel graag tot te controleren feitelijkheden die betrekking hebben op de door u gevonden kwetsbaarheid en vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings)producten.
  • Contactgegevens achter te laten zodat we eventueel contact met u kunnen opnemen om samen te werken aan een veilig resultaat. Laat minimaal één e-mailadres of telefoonnummer achter.
  • Mail de melding zo snel mogelijk in na ontdekking van de kwetsbaarheid.

Wat we beloven

  • Als u aan bovenstaande voorwaarden voldoet, zullen wij geen strafrechtelijke aangifte tegen u doen en ook geen civielrechtelijke zaak tegen u aanspannen.
  • Als blijkt dat u een bovenstaande voorwaarde toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
  • Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming met derden, tenzij wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
  • Eventueel zal de gemeente Epe de feitelijke informatie over de melding informatie delen met de IBD zodat dat andere gemeenten geïnformeerd kunnen worden.
  • In onderling overleg kunnen we, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
  • Wij sturen u binnen 1 werkdag een (automatische) ontvangstbevestiging en wij houden u op de hoogte van de voortgang van de oplossing.
  • Wij kunnen u geen beloning bieden als dank voor de hulp. De melder krijgt voor een valide melding in elk geval een vermelding in de Hall of Fame van de Informatiebeveiligingsdienst Gemeenten.