Verantwoord melden van kwetsbaarheden

Embion beschouwt de veiligheid van haar informatiesystemen als een topprioriteit. Ondanks alle inspanningen en strikte ontwikkel- en testprocedures om de beveiliging optimaal te realiseren, is Embion zich ervan bewust dat er tijdens gebruik toch beveiligings-kwetsbaarheden aan het licht kunnen komen.

Als u een kwetsbaarheid ontdekt, verzoeken wij u hier vertrouwelijk mee om te gaan en deze zo snel mogelijk aan Embion te melden. Embion zal uw melding beoordelen en waar nodig direct passende maatregelen nemen.

 

Meldingsprocedure

 

Wij vragen het volgende te doen:

  • E-mail uw bevindingen zo compleet mogelijk naar security@embion.nl of bel 085-0435861 en vraag naar de Security Officer.
  • Maak geen misbruik van de kwetsbaarheid of het probleem dat u heeft ontdekt. Download bijvoorbeeld niet meer gegevens dan strikt noodzakelijk is om de kwetsbaarheid aan te tonen en verwijder of wijzig geen gegevens van anderen.
  • Behandel de kwetsbaarheid vertrouwelijk en deel details niet met derden zolang Embion de kwetsbaarheid nog niet heeft verholpen.
  • Voer geen aanvallen uit op de fysieke beveiliging, via social engineering, gedistribueerde denial-of-service-aanvallen (DDoS), spam of toepassingen van derden.
  • Geef Embion voldoende informatie om de kwetsbaarheid te kunnen reproduceren. Meestal zijn het IP-adres of de URL van het getroffen systeem en een duidelijke beschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden kan aanvullende toelichting nodig zijn.
  • Indien u hierover de kennis of ervaring heeft, stellen wij het op prijs als u ook uw advies geeft over mogelijke oplossingsrichtingen voor Embion.

 

Wat Embion na uw melding doet

 

Na ontvangst van uw melding:

  • Ontvangt u per e-mail een bevestiging van de melding.
  • Houdt Embion u op de hoogte van de voortgang van de beoordeling en de eventueel te nemen maatregelen.
  • Wordt uw melding strikt vertrouwelijk behandeld. Uw persoonsgegevens worden niet zonder uw toestemming aan derden verstrekt.
  • Beslist Embion, afhankelijk van de aard en ernst van de kwetsbaarheid, of Embion EMS-gebruikers actief geïnformeerd moeten worden. Indien dit het geval is, zal er na het inloggen een melding in de Embion-Hub worden getoond.

 

Beloning / bug bounty

 

Embion hanteert momenteel geen bug bounty- of beloningsprogramma voor het melden van kwetsbaarheden. Meldingen worden op vrijwillige basis gedaan. Uiteraard stellen wij uw inzet zeer op prijs.