Naar hoofdcontent

Logo Stadswonen Rotterdam, ga naar homepagina

Responsible disclosure beleid

Heb je een kwetsbaarheid ontdekt in een systeem van Stadswonen Rotterdam? Laat het ons weten. We willen graag samenwerken om onze systemen veilig te houden. We behandelen meldingen vertrouwelijk behandeld en bij waardevolle bijdragen ontvang je een cadeaubon van € 50,-.

1. Inleiding

Bij Stadswonen Rotterdam hechten wij veel waarde aan de veiligheid van onze informatievoorziening. Ondanks onze zorgvuldige beveiligingsmaatregelen kan zich toch een kwetsbaarheid voordoen. Wij stellen het zeer op prijs wanneer beveiligingsonderzoekers ons hierover informeren, zodat wij tijdig passende maatregelen kunnen nemen om onze beveiliging te verbeteren.

2. Doel

In dit Responsible Disclosure-beleid staat beschreven hoe externe partijen, die te goeder trouw zijn, kwetsbaarheden in onze systemen op verantwoorde wijze kunnen melden.

Dit beleid vormt geen uitnodiging om kennis te nemen van (persoons)gegevens. Mocht dit toch gebeuren tijdens het opsporen van kwetsbaarheden, dan dien je deze gegevens vertrouwelijk te behandelen en niet verder te verspreiden.

3. Scope

Dit beleid geldt voor de gehele informatievoorziening van Stadswonen Rotterdam, inclusief infrastructuur zoals servers, netwerken, laptops, smartphones, tablets en clouddiensten.

4. Richtlijnen voor melders

We vragen je vriendelijk om onderstaande richtlijnen in acht te nemen:

  • Voer geen aanvallen uit op fysieke beveiliging, medewerkers (social engineering) of systemen van derden en maak geen gebruik van DDoS-, phishing-, spam-, brute-force- of andere aanvalstechnieken.  
  • Maak geen misbruik van kwetsbaarheden, raadpleeg en download niet meer gegevens dan strikt nodig om de kwetsbaarheid aan te tonen en kopieer, wijzig of verwijder geen informatie.
  • Neem geen onnodige toegang tot onze systemen en handel bij al je acties proportioneel, met inachtneming van de overige richtlijnen van dit beleid.
  • Deel je bevindingen vertrouwelijk via security@woonstadrotterdam.nl.
  • Voorzie Woonstad Rotterdam van alle informatie die nodig is om de kwetsbaarheid te reproduceren, zoals het IPadres, de exacte URL, een heldere beschrijving van de kwetsbaarheid, de stappen om deze na te bootsen en eventuele bewijsbestanden (bijv. screenshots of proof‑of‑concept‑code).
  • Verwijder eventuele verkregen vertrouwelijke data (inclusief eventuele persoonsgegevens) na overleg met ons.
  • Deel geen informatie met anderen over de kwetsbaarheid zonder expliciete toestemming van Woonstad Rotterdam.
  • Het niet naleven van de richtlijnen van dit beleid kan leiden tot juridische stappen.

5. Wat je van ons kunt verwachten

  • Je ontvangt zo spoedig mogelijk een ontvangstbevestiging na je melding.
  • Binnen 10 werkdagen ontvang je een inhoudelijke reactie op de melding.
  • We behandelen meldingen vertrouwelijk. Persoonlijke gegevens worden niet gedeeld, tenzij wettelijk verplicht.
  • Als je de richtlijnen uit dit beleid naleeft, ondernemen wij in principe geen juridische stappen tegen je betreffende de melding.
  • Als blijk van waardering bieden wij een cadeaubon van € 50,- voor waardevolle en reproduceerbare meldingen.
  • We houden je op de hoogte van de voortgang en betrekken je bij eventuele publicaties over de melding.