Veiligheid / responsible disclosure

Binnen de vereniging COIN nemen we de beveiliging van onze platformen en diensten erg serieus. Onze leden en afnemers moeten erop kunnen vertrouwen dat COIN zorgvuldig met informatie omgaat. Daartoe hebben we de nodige technische- en organisatorische beveiligingsmaatregelen getroffen, die periodiek worden geëvalueerd. Ondanks onze zorg voor de beveiliging van onze platformen en diensten kan het voorkomen dat er nog een zwakke plek is.

Indien u een zwakke plek aantreft in één van onze platformen of diensten, dan horen we dit graag zo spoedig mogelijk, zodat we maatregelen kunnen treffen.

Stappenplan melden van veiligheid issues

1. Meldt beveiligingslekken of kwetsbaarheden bij security at coin.nl. We verzoeken u om uw bevindingen met onze PGP key te versleutelen (Fingerprint=7C1E78A7BCC41BCD8D9351D41CFEA82D54B28422) indien dit sensitieve of privacy gevoelige data bevat. Dit om te voorkomen dat de informatie in verkeerde handen valt.

2. Vermeld in uw melding zoveel mogelijk relevantie informatie (screenshots, IP-adressen, welke stappen leidden tot de fout of het issue?).

3. Vermeld in uw melding je e-mailadres, telefoonnummer of andere contactgegevens op basis waarvan wij contact met u kunnen opnemen. Het staat u vrij om een anonieme melding te doen, indien uw niet geïdentificeerd wenst te worden.

4. Wij vragen u:

· Voldoende informatie te geven om het probleem te reproduceren, zodat wij het probleem zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.

· Het probleem niet te misbruiken door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of gegevens van derden in te kijken, te verwijderen of aan te passen.

· Het probleem niet met anderen te delen totdat het is opgelost en alle vertrouwelijke gegevens die zijn verkregen via het lek direct na het dichten van het lek te wissen.

· Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, (distributed) denial of service, spam of applicaties van derden.

5. Zodra wij een melding hebben ontvangen, starten wij zo snel mogelijk met een onderzoek. Hiervoor zullen wij mogelijk ook contact met u opnemen. Mocht u anoniem met ons willen communiceren, dan kunt u een tijdelijk en/of anoniem emailadres gebruiken. Ook kunnen we indien gewenst met een tussen- of vertrouwenspersoon werken. Uw melding en eventuele gegevens zullen door ons niet met derden worden gedeeld en enkel gebruikt worden om over deze bevinding te communiceren.

6. Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is ook mogelijk.

7. Wij houden u op de hoogte van de voortgang van het oplossen van het probleem.

Wij zijn iedereen die ons helpt met het veiliger maken van onze systemen en platformen zeer erkentelijk voor hun hulp en zullen daar (indien gewenst) ook melding van maken. Uiteraard geldt hierbij wel dat bovenstaande stappen moeten worden gevolgd.