CloudSphere logo

Responsible Disclosure

Het komt voor dat een beveiligingsonderzoeker, -organisatie, ethische hacker of een toevallige bezoeker een fout of kwetsbaarheid ontdekt in een product of een dienst. Het kan zijn dat door deze fout of kwetsbaarheid mensen toegang hebben tot bepaalde bedrijfssystemen, -applicaties of -informatie waartoe zij eigenlijk geen toegang zouden mogen hebben.
Een vinder van zo'n kwetsbaarheid kan op verschillende manieren omgaan met deze informatie. Met een responsible disclosure-beleid nodigen we de vinder van een kwetsbaarheid uit om deze gevonden kwetsbaarheid te melden. Hierdoor hebben we tijd het probleem op te lossen, voordat informatie over de kwetsbaarheid openbaar gemaakt wordt.

Service Image

Responsible Disclosure melding

CloudSphere vindt het essentieel dat ICT-systemen veilig zijn en streeft een hoge beveiliging daarvan na. Toch kan het gebeuren dat er een zwakke plek in één van deze systemen voorkomt.

Kwetsbaarheden in ICT-systemen van CloudSphere
Indien u een zwakke plek in één van de ICT-systemen van CloudSphere heeft gevonden, horen wij dit graag van u. Zo kunnen wij zo snel mogelijk de benodigde maatregelen nemen om de gevonden kwetsbaarheid te verhelpen. Om op een verantwoorde manier om te kunnen gaan met gevonden kwetsbaarheden in de ICT-systemen, zijn er afspraken. Hieraan mag u CloudSphere houden wanneer u een zwakke plek aantreft in een van de systemen.

CloudSphere vraagt u
Uw bevindingen te mailen naar [email protected].
Voldoende informatie geven om het probleem te reproduceren zodat CloudSphere het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
Contactgegevens achter te laten zodat CloudSphere met u in contact kan treden om samen te werken aan een veilig resultaat. Laat minimaal een email adres of telefoonnummer achter.
De melding zo snel mogelijk na ontdekking van de kwetsbaarheid te doen.
De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.
Vermijd dus in elk geval de volgende handelingen:

Het plaatsen van malware
Het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
Het aanbrengen van veranderingen in het systeem.
Het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
Het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
Het gebruik maken denial-of-service of social engineering.
Wat u mag verwachten:

Indien u bij de melding van een door u geconstateerde kwetsbaarheid in een ICT-systeem van CloudSphere aan bovenstaande voorwaarden voldoet, zal CloudSphere geen juridische consequenties verbinden aan deze melding.

  • CloudSphere behandelt een melding vertrouwelijk en deelt persoonlijke gegevens niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
  • In onderling overleg kan CloudSphere, indien u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
  • CloudSphere stuurt u binnen één werkdag een ontvangstbevestiging.
  • CloudSphere reageert binnen drie werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
  • CloudSphere houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
  • CloudSphere lost het door u geconstateerde beveiligingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
  • CloudSphere biedt een beloning als dank voor de hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren van minimaal 50 tot maximaal 1000 euro. Het moet hierbij wel gaan om een voor CloudSphere nog onbekend en serieus beveiligingsprobleem.
  • Kwetsbaarheden in ICT-systemen van derden
  • CloudSphere hoort het ook graag als u een zwakke plek heeft gevonden in een systeem van de overheid of in een systeem met een vitale functie. Voor systemen van andere eigenaren/beheerders en of leveranciers dient u in eerste instantie de organisatie zelf te benaderen. Indien de organisatie niet of niet goed reageert, kunt u CloudSphere op de hoogte brengen. Hierbij zal CloudSphere een rol als intermediair op zich nemen om gezamenlijk tot een resultaat te komen.

Voor meldingen over systemen van derden

  • Reageert CloudSphere binnen drie werkdagen op een melding door contact op te nemen met de eigenaar en u een reactie te geven.
  • Is de eigenaar primair verantwoordelijk om de melder op de hoogte te houden van de voortgang van het oplossen van het probleem.
  • Zal CloudSphere de eigenaar helpen met advies zodat het beveiligingsprobleem zo snel mogelijk verholpen kan worden.
  • Vraagt CloudSphere u om ons informatie door te geven of en hoe er al contact is geweest met de organisatie.
CloudSphere logo dark
CloudSphere is een bedrijf gespecialiseerd in Microsoft 365 automatiseringsoplossingen. Vanuit onze vestigingen in Eindhoven en Middelburg bieden wij onze systeembeheer diensten aan voor middelgrote bedrijven.

CloudSphere

Daalakkersweg 10
5641 JA Eindhoven
040 – 340 02 30

Quick links

Home

Microsoft 365

Alles onder één dak

Vrijblijvend advies

Links

Over ons

Microsoft 365 kopen?

Werkgebieden

Regio Eindhoven

Regio Tilburg

Regio Breda

Regio Den Bosch

Juridisch

Algemene voorwaarden

Privacy Policy

Responsible Disclosure

Copyright 2025 CloudSphere