CVD (Coordinated Vulnerability Disclosure)

Bij HZG Breda vinden wij de veiligheid van onze systemen en digitale diensten erg belangrijk. Ondanks dat er veel zorg wordt besteed aan de beveiliging ervan, kan het voorkomen dat er toch een kwetsbaarheid aanwezig is. Als u een kwetsbaarheid in 1 van onze systemen heeft gevonden, dan horen we dat heel graag, zodat we zo snel mogelijk maatregelen kunnen treffen.

Wij vragen u:

  • Bevindingen te mailen naar secretariaat@hzgbreda.nl
  • De zwakheid niet te misbruiken door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen uw melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook zonder ‘bewijs’. Proportionaliteit speelt hierbij een belangrijke rol.
  • Het probleem niet met anderen te delen totdat het is opgelost.
  • Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • Voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • Alle vertrouwelijke gegevens die u hebt verkregen direct te verwijderen nadat u melding heeft gedaan.

Wat wij beloven:

  • We reageren binnen drie dagen inhoudelijk op uw melding, inclusief de verwachte oplossingstermijn. Uiteraard houden we u ook daarna regelmatig op de hoogte van de voortgang van het oplossen van het probleem.
  • Wij behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet zonder uw toestemming met derden, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • We vinden het belangrijk om u de credits te geven die u toekomen als u die wenst. We vermelden uw naam bij een publicatie over de kwetsbaarheid alleen als u daarmee instemt.
  • Mocht u een kwetsbaarheid vinden in software die door een andere partij gemaakt wordt en die kwetsbaarheid valt onder een bug bounty program van die partij, dan is een eventuele bounty uiteraard voor u.