Beleid inzake verantwoordelijke openbaarmaking

Inleiding

Bij DFDS nemen we beveiliging zeer ernstig. Dit document schetst beveiligingsprocedures en algemeen beleid voor het openbaar maken van beveiligingsproblemen. Als je overweegt een kwetsbaarheid aan ons (de "Organisatie") te melden, raden we je aan dit beleid voor het openbaar maken van kwetsbaarheden volledig te lezen voordat je dit doet.

We waarderen degenen die de tijd en moeite nemen om kwetsbaarheden in de beveiliging te melden volgens dit beleid, maar we bieden geen geldelijke beloning voor het melden van kwetsbaarheden.

Rapportering

Als je denkt dat je een beveiligingslek hebt gevonden, stuur je rapport dan naar ons op via de volgende e-mail: security@dfds.com.

Vermeld in je rapport de volgende gegevens:

  • De website, git-repository, IP of pagina waar de kwetsbaarheid kan worden waargenomen.

  • Een korte beschrijving van het type kwetsbaarheid (bijv. "XSS-kwetsbaarheid").

  • Stappen om de openbaarmaking te reproduceren.

Zorg ervoor dat je tests onschadelijk en niet-destructief zijn, of dienen als bewijs van concept.

Deze informatie helpt ervoor te zorgen dat het rapport snel en nauwkeurig kan worden behandeld.

Dit kun je verwachten

Nadat je je rapport hebt ingediend, reageren we binnen 5 werkdagen en streven we ernaar om je rapport binnen 15 werkdagen te behandelen. We houden je op de hoogte van onze voortgang. De prioriteit voor herstel wordt beoordeeld op basis van impact, ernst en complexiteit van de exploit. Je kunt altijd informeren naar de status, maar doe dit niet vaker dan eens in de 14 dagen, zodat onze teams zich kunnen focussen op herstel.

We brengen je op de hoogte wanneer de gemelde kwetsbaarheid is verholpen en je kunt worden uitgenodigd om te bevestigen dat de oplossing de kwetsbaarheid afdoende dekt. Zodra je kwetsbaarheid is verholpen, verwelkomen we verzoeken om je rapport openbaar te maken. We streven ernaar om alle betrokken gebruikers dezelfde richtlijnen te geven, dus we verzoeken je om de openbaarmaking te blijven coördineren.

Begeleiding

Je mag NIET:

  • De toepasselijke wet- en regelgeving overtreden.

  • Onnodige, buitensporige of grote hoeveelheden gegevens openen.

  • Gegevens in de systemen of diensten van de Organisatie wijzigen.

  • Invasieve of destructieve scantools met hoge intensiteit gebruiken om kwetsbaarheden te vinden.

  • Enige vorm van dienstweigering proberen of rapporteren, bijvoorbeeld het overweldigen van een dienst met een groot aantal verzoeken.

  • De diensten of systemen van de Organisatie verstoren.