Coordinated Vulnerability Disclosure
Bij Prowise werken we aan een cultuur die de privacy en gegevens van onze gebruikers respecteert. We erkennen dat een groot deel van onze gebruikers niet in staat is om de veiligheid van systemen accuraat te beoordelen. Met dat in het achterhoofd voelen we ons extra verantwoordelijk om onze systemen en diensten veilig te houden en we besteden er veel aandacht aan om dit te bewerkstelligen.
Ondanks deze inspanningen erkennen we daarentegen ook dat perfecte software bijna onmogelijk is. Kwetsbaarheden kunnen zich daarom voordoen in onze systemen. Laat het ons weten als je een zwakke plek in een van onze systemen hebt gevonden. We willen hier samen aan werken en onze systemen verbeteren om deze problemen op te lossen en onze processen, diensten en systemen weerbaarder maken tegen privacy- en beveiligingsproblemen.
Dit willen we jou vragen
- Deel je bevindingen door een e-mail te sturen naar security@prowise.com.
- Exploiteer het probleem niet verder dan nodig om jouw zaak te onderbouwen, of door gegevens of details te delen met andere partijen behalve Prowise, of door informatie te verwijderen of te wijzigen.
- Voer geen aanvallen uit op de fysieke veiligheid met behulp van social engineering, ontzegging van diensten of spammen van applicaties van derden.
- Voorzie ons van genoeg informatie om het probleem na te bootsen en/of te begrijpen en wees bereikbaar wanneer we meer informatie nodig hebben.
Wij zullen het volgende doen
- Binnen drie dagen reageren met een ontvangstbevestiging zodra deze geregistreerd is in ons systeem.
- Binnen één werkweek stellen we je op de hoogte van onze beoordeling en vervolgacties.
- Als je bovenstaande richtlijnen hebt gevolgd, nemen wij geen juridische stappen wegens jouw melding van het betreffende probleem.
- Wij behandelen jouw persoonlijke informatie in vertrouwen en delen dit niet met derden zonder jouw nadrukkelijke toestemming, tenzij we hier wettelijk toe verplicht zijn. Melding doen met gebruik van een alias is een mogelijkheid.
- We houden je op de hoogte gedurende het ontwikkelen van een oplossing en blijven in contact met je.
- Indien gewenst vermelden we jouw naam publiekelijk voor jouw bijdrage aan de integriteit van onze systemen.
- Afhankelijk van de aard en ernst van het incident en de kwaliteit van de melding kunnen we een aanbod doen van verdere beloningen van onze keuze.
We streven ernaar om incidenten zo snel mogelijk op te lossen. Wij willen graag betrokken zijn bij publicaties over zaken die je in onze systemen of diensten aantreft en/of rapporteert.