Responsible Disclosure

RESPONSIBLE DISCLOSURE DENTALRULES
English below

Heeft u een beveiligingsprobleem in ons systeem ontdekt?

Laat het ons weten! De veiligheid van ons systeem is voor ons heel belangrijk. We testen de veiligheid van het systeem daarom voortdurend. Toch kan er onverhoopt een kwetsbaarheid ontstaan. We waarderen het als u ons zo snel mogelijk op de hoogte stelt van een gevonden beveiligingsprobleem, zodat we de geschikte maatregelen kunnen treffen. Samen kunnen we de veiligheid van het systeem hooghouden.

We zien een melding als een samenwerking tussen u en DentalRules. Als u zich houdt aan onze voorwaarden, houden wij ons aan onze belofte om geen juridische stappen te ondernemen. Het enige doel is het vinden en aanpakken van kwetsbaarheden in het systeem, zodat het systeem veilig blijft.

 

Welke kwetsbaarheden kunt u melden?

Niet alle kwetsbaarheden zijn aan te merken als beveiligingsproblemen in ons systeem.

Bij kwetsbaarheden die u kunt melden, kunt u denken aan:

  • Publiek toegankelijke gevoelige informatie
  • Problemen in de toegangscontrole van een gebruiker
  • De mogelijkheid om opgeslagen gegevens te veranderen, waardoor ongewenste activiteiten mogelijk worden

Voorbeelden van kwetsbaarheden die niet gelden als een beveiligingsprobleem:

  • HTTP 404-codes (Not Found) of andere niet HTTP 200-codes
  • Publiek toegankelijke bestanden en mappen met niet-gevoelige informatie
  • Clickjacking op pagina’s zonder inlogfunctie
  • Het ontbreken van ‘secure’ / ‘HTTP Only’ vlaggen op niet-gevoelige cookies

Deze responsible disclosure ziet dus niet op bijvoorbeeld virussen, onbereikbaarheid van het systeem of phishing mails. Meldingen van deze situaties worden echter ook gewaardeerd. Deze kunt u doorgeven aan onze klantenservice.

 

Wat zijn de voorwaarden?

De samenwerking is geen uitnodiging om ons systeem door te zoeken naar kwetsbaarheden. U kunt erop vertrouwen dat wij geen aangifte doen van hacken als u integer en volgens de onderstaande regels handelt.

Het belangrijkste is dat u niet verder gaat dan strikt noodzakelijk is om de kwetsbaarheid aan te tonen en aan ons door te geven.

Wanneer u een kwetsbaarheid heeft ontdekt, is het niet de bedoeling dat u op zoek gaat naar andere kwetsbaarheden of meer informatie. We vragen u om alleen de gegevens te downloaden en bekijken die daadwerkelijk nodig zijn om vast te stellen dat er sprake is van een beveiligingsprobleem.

U mag geen gegevens kopiëren, wijzigen of verwijderen.

Een aantal methoden zijn niet toegestaan. U mag het probleem niet misbruiken door technieken als social engineering, brute force, het plaatsen van malware, fysieke beveiliging, distributed denial of service, spam of applicaties van derden toe te passen. Ook mag u geen backdoor plaatsen om de kwetsbaarheid aan te tonen.

U deelt de kwetsbaarheid alleen met DentalRules. U deelt deze niet met derden. Bovendien deelt u de kwetsbaarheid direct na ontdekking met ons, zodat wij het probleem zo snel mogelijk kunnen verhelpen.

Eventuele vertrouwelijke gegevens verwijdert u direct nadat u het beveiligingsprobleem bij ons heeft gemeld.

 

Hoe kunt u melden?

Wanneer u een kwetsbaarheid, zoals hierboven beschreven, in ons systeem hebt ontdekt, waarderen wij het zeer als u dit meldt via het contactformulier op onze website.

We vragen u om het beveiligingsprobleem duidelijk te onderbouwen, met zo min mogelijk informatie. U geeft ons wel voldoende informatie om het probleem te kunnen reproduceren.

U kunt melden onder een pseudoniem, maar we verzoeken u om ons voldoende informatie te geven waarmee we contact met u kunnen opnemen over de melding.

 

Wat doen wij met uw melding?

Na ontvangst van uw melding krijgt u van ons een automatische ontvangstbevestiging. Binnen twee werkdagen hoort u wat we met uw melding doen.

Wanneer uw melding een ernstig beveiligingsprobleem blijkt te zijn en het probleem nog niet bij ons bekend is, krijgt u van ons als dank een passende beloning. Op basis van het risico en de impact van het beveiligingsprobleem bepalen we het bedrag, met als minimum €50 aan waardebonnen.

Uw gegevens worden alleen gebruikt om u op de hoogte te houden van de status van uw melding. Alleen wanneer wij oordelen dat u niet te goeder trouw hebt gehandeld (bijvoorbeeld doordat u bovenstaande voorwaarden hebt geschonden), en er dus sprake is van een strafbaar feit, geven wij uw gegevens door aan de politie.

 


 

Did you discover a security issue in our system?

Let us know! The safety of our system is very important to us. Therefore, we are constantly testing the safety of our system. However, a vulnerability can suddenly arise. If you find a security problem, we would appreciate it if you could inform us as soon as possible. Then we can take the appropriate measures. Together we can maintain the security of the system.

We view a report as a collaboration between you and DentalRules. If you abide by our terms, we will keep our promise not to take any legal actions. Our sole purpose is to find and address vulnerabilities in the system, so the system remains secure.

What vulnerabilities can you report?

Not all vulnerabilities can be regarded as security vulnerabilities in our system.

Vulnerabilities that you can report include:

  • Publicly accessible sensitive information
  • Problems in the access control of a user
  • The ability to change stored data, allowing unwanted activities

Examples of vulnerabilities that do not count as a security issue:

  • HTTP 404 (Not Found) codes or other non-HTTP 200 codes
  • Publicly accessible files and folders containing non-sensitive information
  • Clickjacking on pages without login function
  • Lack of ‘secure’ / ‘HTTP Only’ flags on non-sensitive cookies

This responsible disclosure therefore does not cover, for example, viruses, inaccessibility of the system, or phishing emails. However, reports of these situations are also very appreciated. You can pass this on to our customer service.

What are the terms?

The collaboration is not an invitation to search our system for vulnerabilities. You can trust that we will not report hacking if you act with integrity and according to the rules below.

The most important thing is that you do not go further than is strictly necessary to demonstrate the vulnerability and inform us.

When you discovered a vulnerability, we do not want you to look for other vulnerabilities or more information. We only ask you to download and view the data that is really necessary to determine a security vulnerability.

You are not allowed to copy, modify or delete any data.

Some methods are not allowed. You must not abuse the problem by using techniques such as social engineering, brute force, malware placement, physical security, distributed denial of service, spam or third party applications. You are also not allowed to place a backdoor to demonstrate the vulnerability.

We want you to only share the vulnerability with DentalRules. You do not share it with third parties. In addition, you share the vulnerability with us immediately after discovery, so that we can fix the problem as quickly as possible.

We want you to delete any confidential data immediately after you have reported the security problem to us.

How can you report a vulnerability to us?

If you have discovered a vulnerability in our system, as described above, we would appreciate it if you report it via the contact form on our website.

We ask you to clearly substantiate the security problem, with as little information as possible. But please do provide us with enough information to be able to reproduce the problem.

You can report using a pseudonym, but we request you to provide us with sufficient contact information, so we are able to contact you about the report.

What do we do with your report?

After receiving your report, we send you an automatic confirmation of receipt. You will hear what we will do with your report within two working days.

When your report turns out to be a serious security problem and the problem is not yet known to us, you will receive an appropriate compensation from us as a thank you. We determine the amount based on the risk and impact of the security problem, with a minimum of €50 worth of vouchers.

Your data will only be used to keep you informed of the status of your report. Only when we consider you to not have acted in good faith (for example because you have violated the above conditions), and therefore there is a criminal offense, we will pass on your data to the police.

 

Menu