Veiligheid / Responsible Disclosure

Bij COIN vinden wij de veiligheid en weerbaarheid van onze systemen en platformen erg belangrijk. Onze leden en afnemers moeten erop kunnen vertrouwen dat COIN zorgvuldig met informatie omgaat. Daartoe hebben wij technische- en organisatorische beveiligingsmaatregelen geïmplementeerd, die periodiek worden geëvalueerd. Ondanks onze zorg voor de beveiliging van onze systemen en platformen kan het voorkomen dat er toch een zwakke plek is. 

Als u een zwakke plek in één van onze systemen of platformen heeft gevonden horen wij dit graag zo spoedig mogelijk zodat wij maatregelen kunnen treffen. COIN werkt graag met u samen om onze systemen en platformen beter te kunnen beschermen en misbruik te voorkomen. 

Stappenplan melden van veiligheid issues
1. Meldt beveiligingslekken of kwetsbaarheden van COIN naar security at coin . nl. Wij verzoeken u graag om uw bevindingen met onze PGP key te versleutelen (Fingerprint=E5B4 DF19 2902 952D E1B4  8215 C93B 9DFC E283 1DEE) om te voorkomen dat de informatie in verkeerde handen valt.

2. Vermeldt in uw melding zoveel mogelijk relevantie informatie (screenshots, IP-adressen, welke stappen leidden tot de fout of het issue?).

3. Vermeldt in uw melding uw e-mailadres, telefoonnummer of andere contactgegevens op basis waarvan wij contact met u kunnen opnemen. Het staat u vrij om een anonieme melding te doen, indien u niet geïdentificeerd wenst te worden.

4. Wij vragen u:

  • Voldoende informatie te geven om het probleem te reproduceren, zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn;
  • Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, verwijderen of aanpassen;
  • Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen;
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, (distributed) denial of service, spam of applicaties van derden.

5. Zodra wij een melding hebben ontvangen, starten wij zo snel mogelijk met een onderzoek. Hiervoor zullen wij mogelijk ook contact met u opnemen. Mocht u anoniem met ons willen communiceren, dan kunt u een tijdelijk en/of anoniem emailadres gebruiken. Ook kunnen we indien gewenst met een tussen- of vertrouwenspersoon werken. Uw melding en eventuele gegevens zullen door ons niet met derden worden gedeeld en enkel gebruikt worden om over deze bevinding te communiceren.

6. Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is ook mogelijk.

7. Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.

Wij zijn iedereen die ons helpt met het veiliger maken van onze systemen en platformen zeer erkentelijk voor hun hulp en zullen daar (indien gewenst) ook melding van maken. Uiteraard geldt hierbij wel dat bovenstaande stappen moeten worden gevolgd. Wij zullen in dit soort situaties dan ook geen aangifte doen van uw melding.