Meldpunt kwetsbaarheden
Responsible discosure
Ontdekt u een kwetsbaarheid in onze systemen? Help Amsta door deze kwetsbaarheid te melden. Zo kunnen we samen de veiligheid en betrouwbaarheid van onze systemen verbeteren. Deze aanpak is de zogenaamde Coordinated Vulnerability Disclosure.
Bij Amsta werken we aan de veiligheid van haar (medische) apparatuur, programmatuur en diensten. Ondanks de zorg voor de beveiliging kunnen er toch nog kwetsbaarheden zijn.
Ontdekt u een kwetsbaarheid? Dan kunt u dit vertrouwelijk melden
Hiermee kan Amsta beschermende maatregelen treffen en de veiligheid en betrouwbaarheid van onze systemen verbeteren.
Melden kwetsbaarheden Amsta gaat via Z-CERT
Stichting Z-CERT is de organisatie die voor Amsta Coordinated Vulnerability Disclosure meldingen afhandelt. De stichting werkt samen met u als melder en met Amsta om te zorgen dat uw melding wordt opgepakt. Melden kan door:
- het CVD formulier in te vullen op www.z-cert.nl/cvd-melden
- een e-mail te sturen naar cvd@z-cert.nl U kunt daarbij gebruik maken van de PGP-sleutel.
Hoe wij omgaan met uw melding
- Amsta en Z-CERT behandelen uw melding vertrouwelijk en delen uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.
- U krijgt een ontvangstbevestiging van Z-CERT. en binnen 3 werkdagen ontvangt u een reactie op uw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
- Als melder van het probleem houdt Z-CERT u op de hoogte van de voortgang van het oplossen van het probleem.
- We geven melders een plekje in onze Wall of Fame, alleen als u dat wil natuurlijk.
- In uitzonderlijke gevallen besluiten we om de melder een beloning te verstrekken. Dit is afhankelijk van de aard van de melding. Amsta geeft geen beloning voor kwetsbaarheden of bugs die niet misbruikt kunnen worden. Meer informatie vindt u in ons Out of scope statement.
- We streven ernaar om beveiligingsproblemen zo snel mogelijk op te lossen. Samen bespreken we na oplossing van het beveiligingsprobleem de meerwaarde van een eventuele publicatie hierover.
Spelregels
- U misbruikt de geconstateerde kwetsbaarheid niet. Door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
- Als u vermoedt dat u via een kwetsbaarheid medische gegevens kan inzien, vragen wij u dit niet zelf te verifiëren maar dit door ons te laten doen.
- U deelt uw bevindingen niet met anderen, voordat de kwetsbaarheid is opgelost. Daarnaast vragen we u om alle vertrouwelijke gegevens die u heeft verkregen, na het dichten van het lek, direct te wissen.
- U voert geen aanval(len) uit op onze fysieke beveiliging en maakt geen gebruik van social engineering, distributed denial of service, spam, brute-force aanvallen en/of applicaties van derden.
Wall of fame Amsta
In de Wall of Fame van Amsta, neemt Amsta personen op die een kwetsbaarheid of probleem in de beveiliging van onze systemen hebben gemeld. En hierbij het Coordinated Responsible Disclosure beleid hebben gevolgd. Amsta is de melders dankbaar, want dankzij hun melding kan onze beveiliging verder verbeterd worden.
Kijk hier welke Amsta-digihelden al een plekje hebben bemachtigd!
Waar is deze melding niet voor bedoeld?
- Het melden van klachten
- Fraudemeldingen of vermoedens van fraude
- Het melden van nepmails of phishing e-mails
- Het melden van virussen
Deze webpagina beschrijft het Responsible Disclosure-beleid van Amsta als aanvulling op de leidraad responsible disclosure (publicatiedatum 2-10-2018) die het NCSC heeft gepubliceerd.