Responsible
disclosure

Bij Naturalis Biodiversity Center staat cybersecurity hoog op de agenda en wordt er alles aan gedaan om de ICT-systemen veilig te houden. Ondanks onze inspanningen kan het gebeuren dat er een kwetsbaarheid over het hoofd is gezien. Heb jij een kwetsbaarheid gevonden, dan horen wij graag van je om deze zo snel mogelijk te verhelpen. Stuur een email naar csirt@naturalis.nl met daarin de beschrijving van je bevindingen, het IP-adres of de URL waar de kwetsbaarheid gevonden is, eventueel voorzien van een bijlage. 

Daarbij vraagt Naturalis: 

  • geen misbruik te maken van de gevonden kwetsbaarheid: download niet meer data dan nodig is, bewerk of verwijder geen data, deel de data niet met anderen;
  • de kwetsbaarheid niet te publiceren of met anderen te delen, voordat deze verholpen is en
  • eventueel gedownloade data na overdracht aan Naturalis te verwijderen.

Naturalis is niet akkoord met het aantonen van een kwetsbaarheid door:

  • malware te plaatsen;
  • brute force te gebruiken voor het verkrijgen van toegang;
  • een Denial of Service aanval te doen en
  • Gebruik te maken van Social Engineering.

Naturalis belooft:

  • binnen 3 werkdagen inhoudelijk te reageren op je melding;
  • geen juridische stappen te ondernemen als aan deze voorwaarden tegemoet is gekomen;
  • je melding vertrouwelijk te behandelen en zonder je toestemming je persoonlijke gegevens niet te delen, tenzij dat noodzakelijk is om wettelijke verplichtingen na te komen; 
  • je te informeren over de oplossing van de kwetsbaarheid;
  • je, zo je wilt, te vermelden als ontdekker van de kwetsbaarheid in berichtgeving en 
  • een passende beloning, naar gelang de ernst van de kwetsbaarheid en de kwaliteit van het onderzoek (als er geen sprake is van een kwetsbaarheid of risico, of als deze al eerder is gemeld, wordt er geen beloning toegekend) en 
  • te streven naar een snelle oplossing van de kwetsbaarheid binnen 60 dagen en je te betrekken bij de communicatie hierover.