Spring naar content

CVD (Coordinated Vulnerability Disclosure)

Bij de LHV vinden wij de veiligheid van onze systemen en digitale diensten erg belangrijk. Ondanks dat er veel zorg wordt besteed aan de beveiliging ervan, kan het voorkomen dat er toch een kwetsbaarheid aanwezig is. Als je een kwetsbaarheid in 1 van onze systemen hebt gevonden, dan horen we dat heel graag, zodat we zo snel mogelijk maatregelen kunnen treffen.

Wij vragen je:

  • bevindingen te mailen naar privacyklachten@lhv.nl.
  • de zwakheid niet te misbruiken door bijvoorbeeld het downloaden, veranderen of verwijderen van gegevens. Wij nemen je melding altijd serieus en gaan elk vermoeden van een kwetsbaarheid uitzoeken, ook zonder ‘bewijs’. Proportionaliteit speelt hierbij een belangrijke rol.
  • het probleem niet met anderen te delen totdat het is opgelost.
  • geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, distributed denial of service, spam of applicaties van derden.
  • voldoende informatie te geven om het probleem te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
  • alle vertrouwelijke gegevens die je hebt verkregen direct te verwijderen nadat je melding hebt gedaan.

Wat wij beloven:

  • We reageren binnen drie dagen inhoudelijk op je melding, inclusief de verwachte oplossingstermijn. Uiteraard houden we je ook daarna regelmatig op de hoogte van de voortgang van het oplossen van het probleem.
  • Wij behandelen je melding vertrouwelijk en delen je persoonlijke gegevens niet zonder je toestemming met derden, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen. Melden onder een pseudoniem is mogelijk.
  • We vinden het belangrijk om je de credits te geven die je toekomen als je die wenst. We vermelden je naam bij een publicatie over de kwetsbaarheid alleen als je daarmee instemt.
  • Mocht je een kwetsbaarheid vinden in software die door een andere partij gemaakt wordt en die kwetsbaarheid valt onder een bug bounty program van die partij, dan is een eventuele bounty uiteraard voor jou.
  • Als dank voor je hulp bieden wij voor elke melding van een ons nog onbekend beveiligingsprobleem een beloning aan in de vorm van een kortingsvoucher van 25 procent op een training naar keuze van de LHV Academie.

Bekijk ook onze pagina over privacy en cookies.