Kwetsbaarheden melden
Vind je een zwakke plek in een van onze systemen? Dan kun je dit melden via CVD@vangoghmuseum.nl. Het maken van zo'n melding heet Coordinated Vulnerability Disclosure (CVD).
Vermeld in je e-mail voldoende informatie, zodat we het probleem kunnen reproduceren, dit helpt ons het probleem sneller op te lossen. Vermeld in ieder geval:
- het IP-adres, de URL en/of de naam van het getroffen systeem;
- het soort kwetsbaarheid;
- een omschrijving van de kwetsbaarheid;
- uitleg van de kwetsbaarheid;
- waarom de kwetsbaarheid het melden waard is;
- de kans op actieve uitbuiting door kwaadwillenden;
- de mogelijke schade voor het Van Gogh Museum en
- voeg eventueel een bijlage toe.
Bij complexere kwetsbaarheden kunnen wij meer informatie nodig hebben. Het kan zijn dat we daarover dan contact met je opnemen. Zorg ervoor dat je minimaal een e-mailadres of telefoonnummer achterlaat, zodat we contact met je op kunnen nemen.
- Deel de informatie over het beveiligingsprobleem niet met anderen, totdat je van ons hoort of het probleem is opgelost.
- Ga verantwoordelijk om met de kennis over het beveiligingsprobleem door geen handelingen te verrichten, die verder gaan dan noodzakelijk om het beveiligingsprobleem aan te tonen.
- Vermijd onverantwoorde handelingen.
Vermijd daarnaast altijd de volgende handelingen:
- Plaatsen van malware.
- Kopiëren, wijzigen of verwijderen van gegevens in het
- Aanbrengen van veranderingen in het systeem.
- Herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
- Gebruik maken van 'brute force' om toegang tot het systeem te verkrijgen.
- Gebruik maken van 'denial-of-service' of 'social engineering'.
Wanneer je de melding volgens de procedure zoals hierboven beschreven doet, hebben we geen reden om juridische consequenties te verbinden aan je melding. We behandelen je melding vertrouwelijk en delen persoonlijke gegevens niet zonder je toestemming met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
We streven er naar je binnen twee werkdagen een bevestiging van ontvangst te sturen en om binnen twee weken te reageren op een melding met de beoordeling van de melding. We houden je als melder zoveel mogelijk op de hoogte over de voortgang van het oplossen van het probleem.
Het Van Gogh Museum biedt een kleine attentie als dank voor jouw hulp. Deze attentie bestaat uit een Van Gogh Museum mok. Om in aanmerking te komen voor deze attentie moet het wel gaan om een voor het Van Gogh Museum nog onbekend en serieus beveiligingsprobleem.
Het verstrekken van je naam en adresgegevens is optioneel. Indien je in aanmerking wilt komen voor de genoemde attentie hebben wij je naam en adres nodig om de beloning op te sturen. Je persoonsgegevens worden zorgvuldig behandeld, niet met derden gedeeld en bewaard tot na afhandeling van de melding. Meer informatie over hoe het Van Gogh Museum omgaat met persoonsgegevens is te vinden in onze privacyverklaring.