f

Responsible disclosure beleid

Neostrada vindt het erg belangrijk dat de eigen systemen veilig zijn en streeft een hoge beveiliging daarvan na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt.

Ons responsible disclosure-beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen op zwakke plekken. Wij monitoren ons netwerk zelf. Hierdoor is de kans groot dat een scan wordt opgepikt en dat je wordt geblokkerd.

Kwetsbaarheden in de systemen van Neostrada

Indien je een zwakke plek in een van de systemen van Neostrada hebt gevonden, vernemen wij dit graag van je zodat zo snel mogelijk de benodigde maatregelen kunnen worden getroffen. Wij willen graag met je samenwerken om de veiligheid van onze systemen nog beter te kunnen beschermen. Met het oog hierop voeren wij onderstaand beleid inzake de omgang met meldingen van door jou geconstateerde kwetsbaarheden in de systemen van Neostrada.

Wij vragen je:

  • Je bevindingen te mailen naar security@neostrada.nl.
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Contactgegevens achter te laten zodat wij met je in contact kunnen treden om samen te werken aan een veilig resultaat. Laat minimaal een email adres of telefoonnummer achter.
  • De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
  • De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
  • Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Vermijd dus in elk geval de volgende handelingen:

  1. het plaatsen van malware.
  2. het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
  3. het aanbrengen van veranderingen in het systeem.
  4. het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
  5. het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
  6. het gebruik maken denial-of-service of social engineering.

Wat je van ons mag verwachten:

  • Indien je bij de melding van een door jou geconstateerde kwetsbaarheid in een systeem van Neostrada aan bovenstaande voorwaarden voldoet, zullen wij geen juridische consequenties verbinden aan deze melding.
  • Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens, niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • Wij sturen je binnen drie werkdagen een ontvangstbevestiging.
  • Binnen drie werkdagen na de ontvangstbevestiging ontvang je een reactie met daarin een beoordeling van de melding en de verwachte datum van de oplossing. We streven ernaar je ook tussentijds op de hoogte te houden over de voortgang van het oplossen van het probleem.
  • In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.

Wat kan je niet melden?

Deze Responsible Disclosure regeling is niet bedoeld voor het melden van klachten. Ook is de regeling niet bedoeld voor:

  • Het melden dat de website niet beschikbaar is.
  • Het melden van nep e-mails (phishing e-mails).
  • Het melden van fraude.

Bug bounty(beloning)

Om het melden van problemen met de beveiliging van onze systemen te stimuleren heeft Neostrada een bug bounty regeling. Voor meldingen die daadwerkelijk aanleiding geven tot het verhelpen van een kwetsbaarheid of een verandering van onze dienstverlening stellen we een passende vergoeding beschikbaar. Wij beslissen of de melding hiervoor in aanmerking komt en de aard en hoogte van de beloning.

Welke systemen/problemen zijn uitgesloten van de bug bounty?

Niet alle systemen vallen onder de directe controle van Neostrada. Hoewel we meldingen met betrekking tot deze systemen eveneens zeer serieus nemen kunnen we deze niet onder een bug bounty regeling laten vallen. Ook specifieke problemen die naar ons oordeel geen bedreiging vormen sluiten we uit van bug bounties.

Uitgesloten systemen

  • support.neostrada.nl
  • cPanel
  • DirectAdmin
  • CloudLinux
  • WHMCS
  • HostFact

Uitgesloten beveiligingsproblemen

  • (D)DOS aanvallen
  • Problemen die neerkomen op self-XSS
  • Foutmeldingen zonder gevoelige gegevens
  • Meldingen waaruit door ons gebruikte software is af te leiden
  • Problemen die gebruik van sterk verouderde besturingssystemen, browsers of incourante plugins vereisen
  • Problemen die ons al bekend zijn

Dit beleid is opgesteld aan de hand van de Leidraad Responsible Disclosure van het NCSC.

Vraag nu je domeinnaam aan!

Binnen enkele minuten online