Vindt u een zwakke plek in de beveiliging van onze informatiesystemen? Meld dit dan zo snel mogelijk bij de gemeente. De gemeente Zutphen hecht veel belang aan de beveiliging van haar systemen. Ondanks onze voorzorgsmaatregelen blijft het mogelijk dat er een zwakke plek in onze systemen te vinden is.
Ontdekt u zo’n zwakke plek in één van onze systemen? Wij horen dit graag zo snel mogelijk, zodat wij maatregelen kunnen nemen. U kunt een melding doen via een webformulier. Lees eerst onderstaande informatie goed door. Hier staat onze ‘Coordinated Vulnerability Disclosure’ oftewel: ons beleid voor het melden van een kwetsbaarheid. Als melder gaat u akkoord met onderstaande afspraken. En de gemeente handelt uw melding dan ook af volgens onderstaande afspraken.
Wij vragen het volgende van u
- Meld uw bevindingen via ons webformulier.
- Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Vaak is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Maar bij complexere kwetsbaarheden kan meer nodig zijn.
- Geef ons tips die ons helpen het probleem op te lossen. Beperk u daarbij tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde kwetsbaarheid. Vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiligings-)producten.
- Laat uw contactgegevens achter, zodat we met u in contact kunnen treden om samen te werken aan een veilig resultaat. Laat tenminste een e-mailadres of telefoonnummer achter.
- Meld de kwetsbaarheid zo snel mogelijk na de ontdekking hiervan.
De volgende handelingen zijn niet toegestaan
- Meer doen dan wat strikt noodzakelijk is om het beveiligingsprobleem aan te tonen en te melden. In het bijzonder waar het gaat om het verwerken (waaronder het inzien of kopiëren) van vertrouwelijke gegevens waar u door de kwetsbaarheid toegang toe heeft gehad. In plaats van een complete database te kopiëren, kunt u meestal volstaan met bijvoorbeeld een directory listing. Het wijzigen of verwijderen van gegevens in het systeem is nooit toegestaan.
- Technieken gebruiken die de beschikbaarheid en/of bruikbaarheid van het systeem of services verminderen ((D)DoS-aanvallen).
- Malware plaatsen; niet op onze systemen én niet op die van anderen.
- Toegang tot systemen “bruteforcen”.
- Het gebruiken van ‘social engineering’.
- Informatie over het beveiligingsprobleem openbaar maken of aan derden verstrekken, voordat het probleem is opgelost.
- Misbruik maken van de kwetsbaarheid, op welke (andere) wijze dan ook.
Dit mag u van de gemeente Zutphen verwachten
- Voldoet u aan alle bovenstaande voorwaarden, dan zullen wij geen strafrechtelijke aangifte tegen u doen en ook geen civielrechtelijke zaak tegen u aanspannen.
- Als blijkt dat u (een van de) bovenstaande voorwaarden toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
- Wij delen de ontvangen melding altijd met de Informatiebeveiligingsdienst voor gemeenten (IBD). Zo zorgen wij ervoor dat gemeenten hun ervaringen op dit vlak met elkaar delen.
- Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming met derden. Behalve als wij daar volgens de wet of een rechtelijke uitspraak toe verplicht zijn.
- In overleg met u kunnen we, als u dit wenst, uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid. In alle andere gevallen blijft u anoniem.
- In overleg met u kunnen we bepalen of - en hoe - over het probleem wordt gepubliceerd, nadat het is opgelost.
- Wij sturen u binnen 1 werkdag een (automatische) ontvangstbevestiging.
- Wij reageren binnen 5 werkdagen op een melding met een (eerste) beoordeling van de melding en eventueel een verwachte datum voor een oplossing.