Responsible disclosure

beleid

Samen werken we aan een veiliger PostNL
Meld je bevinding

Om elke dag weer de bezorging van duizenden pakketjes en brieven in goede banen te leiden, besteden we veel aandacht aan de veiligheid van onze IT systemen. Toch kan het voorkomen dat er ergens een lek bevindt. Vind jij een kwetsbaarheid in onze systemen, dan pakken we dit graag samen met jou op. En wie weet verdien jij er een plek mee in onze Hall of Fame.

Heb jij een kwetsbaarheid gevonden?

... dan ben je aan de volgende spelregels gebonden:

  • Voor het beoordelen van je melding werken we samen met Zerocopter. Je kunt op hun website je bevinding aanmelden.
  • Het niet misbruiken van je bevinding door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.
  • Het niet delen met anderen van je bevinding totdat het door ons is opgelost of als we dit samen hebben afgesproken.
  • Onze vertrouwelijke gegevens die eventueel zijn verkregen als gevolg van de zwakke plek, na afstemming met ons direct te wissen en/of te vernietigen.
  • Het niet gebruiken van de bevinding om aanvallen op fysieke beveiliging te doen.
  • De bevinding niet te doen door middel van social engineering, distributed denial of service of spam.
  • Als het vinden van de kwetsbaarheid in onze systemen een gevolg is van een mogelijk strafbaar feit of van onrechtmatig handelen, zullen wij geen juridische maatregelen tegen je treffen als je je aan onze voorwaarden met betrekking tot onze 'Responsible Disclosure' hebt gehouden.

Meld je bevinding

En voor wat hoort wat, daarom beloven wij dat:

  • Wij zo snel mogelijk reageren op je melding met onze beoordeling van de melding en een verwachte datum voor een oplossing.
  • Wij je melding vertrouwelijk behandelen en je persoonlijke gegevens niet zonder je toestemming met derden te delen tenzij dat noodzakelijk is om de melding op te lossen, of een wettelijke verplichting na te komen. Je kunt je melding bij ons ook anoniem doen.
  • Wij je op de hoogte houden van de voortgang van het oplossen van het probleem als je dat aan ons hebt gevraagd.
  • Wij je belonen met een pakketje met goodies wanneer jij de eerste bent die de kwetsbaarheid meldt en we een aanpassing hebben gedaan door jouw melding.
  • Wij jouw naam op onze Hall of Fame zullen vermelden, uiteraard alleen met expliciete, ge├»nformeerde, ondubbelzinnige en vrij gegeven toestemming (wanneer je de eerste bent die deze kwetsbaarheid meldt en we een aanpassing hebben gedaan n.a.v. jouw melding).
  • Als het vinden van de kwetsbaarheid in onze systemen een gevolg is van een mogelijk strafbaar of onrechtmatig handelen, zullen wij geen juridische maatregelen tegen je treffen als je zich aan onze voorwaarden met betrekking tot onze 'Responsible Disclosure' hebt gehouden.

Wij streven ernaar om alle meldingen zo snel mogelijk op te lossen. Is het zo dat je na de oplossing van het probleem bekendheid zoekt of hierover wil publiceren, dan verzoeken wij je de publicatie met ons af te stemmen en ons voorafgaand te informeren.

Deze Responsible Disclosure is gebaseerd op een voorbeeld van Floor Terra.