Responsible Disclosure

Responsible Disclosure

Kwetsbaarheid ontdekt? Laat het ons weten.

Bij Pon Holdings B.V. en haar dochterondernemingen vinden we de veiligheid van onze systemen en ons netwerk erg belangrijk. We zijn ervan overtuigd dat een goede beveiliging essentieel is voor het vertrouwen dat onze klanten, leveranciers en medewerkers in ons stellen. Ondanks de zorg voor de beveiliging van onze systemen zou het kunnen voorkomen dat een kwetsbaarheid wordt ontdekt.

Middels ons responsible disclosure beleid vragen wij iedereen die een kwetsbaarheid ontdekt, dit zo snel mogelijk te melden zodat we adequate maatregelen kunnen treffen. We werken graag met u samen om de kwetsbaarheid op te lossen. Ons responsible disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk uitgebreid actief te scannen om kwetsbaarheden te ontdekken. Wij monitoren ons netwerk zelf.

Wij vragen u:

  • Uw bevindingen zo snel mogelijk te versturen naar rd@pon.com. Als u de melding versleuteld wilt versturen, meld dit dan in uw e-mail. Wij geven u dan instructies;
  • Ons voldoende informatie te geven om de kwetsbaarheid te reproduceren zodat wij het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer informatie nodig zijn;
  • De kwetsbaarheid niet te misbruiken door bijvoorbeeld het downloaden, inzien, verwijderen of aanpassen van gegevens;
  • Kwetsbaarheden niet met anderen te delen totdat de kwetsbaarheid is opgelost. Mocht u onverhoopt vertrouwelijke gegevens hebben verkregen dan vragen wij u deze gegevens direct te wissen;
  • Geen gebruik te maken van aanvallen op fysieke beveiliging of applicaties van derden, social engineering, distributed denial of service (DDoS), spam of hacking tools zoals vulnerability scanners.

Wat mag u verwachten:

  • Wij nemen uw melding altijd serieus. Ook vermoedens van kwetsbaarheden zullen wij onderzoeken;
  • Wij reageren binnen 5 werkdagen op uw melding met onze beoordeling van de melding en een verwachte datum voor een oplossing;
  • Wij houden u op de hoogte van de voortgang van het oplossen van de kwetsbaarheid;
  • Als u zich aan bovenstaande voorwaarden heeft gehouden zullen wij geen juridische stappen tegen u ondernemen betreffende de melding. Het Openbaar Ministerie behoudt altijd het recht om zelf te beslissen of vervolgonderzoek nodig is;
  • Wij behandelen uw melding vertrouwelijk en zullen uw persoonlijke gegevens niet zonder uw toestemming met derden delen, tenzij dat noodzakelijk is om een wettelijke verplichting na te komen, zoals wanneer uw gegevens worden opgevraagd door politie en justitie;
  • Een anonieme melding betekent mogelijk dat wij geen contact met u kunnen opnemen over bijvoorbeeld de vervolgstappen en voortgang van het dichten van de kwetsbaarheid;
  • We kunnen onze blijk van waardering tonen met een maximale waarde van € 50. Dit wordt bepaald aan de hand van de ernst van de kwetsbaarheid en kwaliteit van de melding;
  • In eventuele berichtgeving over de gemelde kwetsbaarheid zullen wij, indien u dit wenst, uw naam vermelden als de ontdekker;
  • Wij streven ernaar alle kwetsbaarheden zo snel mogelijk te analyseren en indien nodig op te lossen. We zullen daarbij alle betrokken partijen op de hoogte houden.

Dit responsible disclosure beleid is gebaseerd op de leidraad Responsible Disclosure van het Nationaal Cyber Security Centrum en het voorbeeld Responsible Disclosure geschreven door Floor Terra.

 

English Version

At Pon Holdings B.V. and its subsidiaries, we naturally consider the security of our systems and our network to be of the utmost importance. We are convinced that good security is essential to maintain the trust that our clients, suppliers and employees place in us. Despite the care invested in the security of our systems, however, it is still possible that vulnerabilities could be discovered.

By means of our responsible disclosure policy, we ask anyone who has discovered a vulnerability to report it as quickly as possible, so that we can take adequate countermeasures. We would be happy to work with you to solve the vulnerability. Our responsible disclosure policy is not an invitation to actively scan our company network in detail to discover vulnerabilities, as we are already monitoring the network.

We ask that you:

  • Report your discoveries as quickly as possible to rd@pon.com. If you would like to encrypt your report before you send it, please inform us in your e-mail and we will give you instructions;
  • Provide us with enough information to reproduce the vulnerability, so that we can solve it as quickly as possible. Usually the IP address or URL for the affected system and a description of the vulnerability are sufficient, but more complex vulnerabilities may require additional information;
  • Not to abuse the vulnerability by downloading, viewing, deleting or editing data;
  • Not sharing vulnerabilities with others until they can be solved. If you have inadvertently obtained confidential information, then we ask that you delete the data immediately;
  • Not to use attacks on the physical security or applications of third parties, social engineering, distributed denial of service (DDoS), spam or hacking tools such as vulnerability scanners.

What can you expect:

  • We will always take your report seriously. We will also investigate any suspected vulnerabilities;
  • We will reply to your report within 5 working days with our evaluation of the report and an expected date for the solution;
  • We will keep you informed of the progress made in solving the vulnerability;
  • If you abide by the conditions stipulated above, then we will not take legal action against you pertaining to the report. The Public Prosecutor’s Office retains the right to decide whether additional investigation is necessary;
  • We will treat your report with confidentiality, and will not share your personal data with third parties without your permission unless required to do so by law, such as when your data are requested by the police or the courts;
  • If you submit an anonymous report, we may not be able to contact you with information about the subsequent steps and the progress made in solving the vulnerability;
  • We may express our appreciation with a maximum value of € 50. This will be based on the severity of the vulnerability and the quality of the report;
  • At your request, we can mention your name as the person who discovered the vulnerability in any communications about the incident;
  • We strive to analyse, and if needed solve, any vulnerabilities as quickly as possible after they are discovered. We will also keep all stakeholders informed about the issue.

This responsible disclosure policy is based on the Responsible Disclosure Guideline published by the National Cyber Security Centre, and the sample Responsible Disclosure written by Floor Terra.

Wilt u meer weten of heeft u interesse in een analyse van uw wagenpark?

T. +31 88 73 77 150 – E. info@orionfleetmanagement.com