Polityka odpowiedzialnego ujawniania informacji

W Kiwa przywiązujemy dużą wagę do bezpieczeństwa naszych systemów teleinformatycznych i naszych stron internetowych. Dlatego dążymy do możliwie najwyższego poziomu bezpieczeństwa. Pomimo dużej staranności, jaką przywiązujemy do bezpieczeństwa ICT, nadal mogą występować słabe punkty. Prosimy, aby nie nadużywać luki, ale zgłosić nam problem, abyśmy mogli podjąć niezbędne kroki.

Czy znalazłeś lukę w naszych stronach internetowych lub w jednym z naszych innych systemów (online)? Następnie prosimy o jak najszybsze zgłoszenie nam swoich ustaleń. Zrób to, zanim ogłosisz „wyciek” na zewnątrz, abyśmy mogli go jak najszybciej rozwiązać.

Chcielibyśmy współpracować, aby lepiej chronić nasze systemy i jak najszybciej usunąć lukę. Nasza polityka odpowiedzialnego ujawniania informacji nie stanowi jednak zaproszenia do aktywnego skanowania naszej sieci biznesowej w celu wykrycia słabych punktów.

Zgłoś lukę

Jeśli znalazłeś lukę w zabezpieczeniach, prosimy o informację. Pamiętaj o następujących kwestiach:

  • Jak najszybciej prześlij swoje ustalenia pocztą elektroniczną na adres Responsibledisclosure@kiwa.nl 
  • Podaj odpowiednie informacje umożliwiające odtworzenie luki, abyśmy mogli ją jak najszybciej usunąć. Zwykle wystarczy adres IP lub adres URL systemu, którego dotyczy luka, oraz opis luki, chociaż w przypadku bardziej złożonych luk może być potrzebnych więcej informacji.
  • Podaj swoje dane kontaktowe (adres e-mail lub numer telefonu), abyśmy mogli się z Tobą skontaktować.
  • Nie udostępniaj informacji o luce innym osobom, dopóki nie zostanie ona usunięta.
  • Bądź odpowiedzialny wykorzystując swoją wiedzę na temat luki w zabezpieczeniach.
  • Nie wykonuj żadnych czynności poza niezbędnymi do wykazania tego.

Czy Twój raport spełnia te warunki? Wtedy nie będzie żadnych konsekwencji prawnych.

Nie nadużywaj słabego punktu

Jeśli odkryjesz podatność (słaby punkt), nie wykorzystuj jej, na przykład w celu:

  • instalowania złośliwego oprogramowania;
  • kopiowania, modyfikowania lub usuwania danych w systemie lub tworzenie wpisów w katalogach;
  • wprowadzania zmian w systemie;
  • wielokrotne uzyskiwanie dostępu do systemu lub udostępnianie dostępu innym osobom;
  • poruszania się w bok lub dalej w głąb naszych systemów;
  • korzystania z brutalnego wymuszania dostępu do systemów;
  • skorzystania z metody odmowy usługi lub inżynierii społecznej.

Jak postępujemy z Twoim raportem

Czy zgłosiłeś słaby punkt w jednym z naszych systemów teleinformatycznych lub na stronach internetowych? Następnie potraktujemy Twój raport w następujący sposób:

  • Potwierdzenie zgłoszenia otrzymasz w ciągu jednego dnia roboczego.
  • Odpowiemy na Twoje zgłoszenie w ciągu pięciu dni roboczych. Nasza odpowiedź zawiera ocenę zgłoszenia oraz przewidywany termin rozwiązania problemu.
  • O postępie w rozwiązaniu problemu będziemy informować Cię na bieżąco.
  • Twoje zgłoszenie potraktujemy poufnie i nie udostępnimy Twoich danych osobowych bez Twojej zgody stronom trzecim, chyba że będzie to wymagane przez prawo lub na mocy postanowienia sądu.

Rozwiązanie luki

Zgłoszony problem bezpieczeństwa rozwiążemy tak szybko, jak to możliwe, ale zawsze w ciągu 60 dni. Wspólnie z Tobą (zgłaszającym sprawę) ustalimy, czy i w jaki sposób zgłosić problem. Jeśli poinformujemy Cię o problemie, zrobimy to dopiero po jego rozwiązaniu.

Informacje końcowe 

Kiwa może zmienić politykę w zakresie odpowiedzialnego ujawniania informacji, jeśli istnieje ku temu powód. Aktualna polityka jest zawsze dostępna na tej stronie. 

Rijswijk, Holandia, grudzień 2018.