terug
Hoe kunnen we u helpen?

Coordinated Vulnerability Disclosure

ViaSana hecht veel belang aan de veiligheid van haar (medische) apparatuur, programmatuur en diensten. Ondanks de zorg voor de beveiliging hiervan kan het voorkomen dat er toch sprake is van een kwetsbaarheid. Als je zo’n kwetsbaarheid ontdekt, kun je dit veilig aan ons melden. Deze aanpak is de zogenaamde Coordinated Vulnerability Disclosure. Op deze manier kan Kliniek ViaSana beschermende maatregelen treffen.

Melding maken van kwetsbaarheid

Wij horen het graag als je een kwetsbaarheid gevonden hebt, zodat we zo snel mogelijk maatregelen kunnen treffen. Kliniek ViaSana wil graag met je samenwerken om onze klanten en systemen nog beter te kunnen beschermen.

Ons Coordinated Vulnerability Disclosure beleid is geen uitnodiging om ons bedrijfsnetwerk (onze systemen) uitgebreid actief te scannen op kwetsbaarheden. Wij monitoren ons netwerk, hierdoor is de kans groot dat een scan wordt opgemerkt door onze IT-afdeling en is er kans dat zij hier onderzoek naar doen en er mogelijk onnodige kosten worden gemaakt.

Als je via ons Coordinated Vulnerability Disclosure beleid kwetsbaarheden aan ons meldt, dan hebben wij geen reden om juridische consequenties te verbinden aan jouw melding. Wij vragen je te houden aan de volgende regels:       

  • Je meldt jouw bevindingen bij Stichting Z-CERT door een e-mail te sturen naar cvd@z-cert.nl. Je kunt daarbij gebruik maken van de PGP-sleutel. Stichting Z-CERT is de organisatie die voor Kliniek ViaSana Coordinated Vulnerability Disclosure meldingen afhandelt. Zij werken samen met jou als melder en met Kliniek ViaSana om te zorgen dat jouw melding wordt opgepakt.
  • In je melding geef je voldoende informatie, zodat het probleem te reproduceren is. Op die manier kunnen wij het zo snel mogelijk oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende. Bij complexere kwetsbaarheden is soms meer informatie gewenst/noodzakelijk.
  • Je misbruikt de geconstateerde kwetsbaarheid niet. Door bijvoorbeeld meer data te downloaden dan nodig is om het lek aan te tonen of door gegevens van derden in te zien, te verwijderen of aan te passen.
  • Als je vermoedt dat je via een kwetsbaarheid medische gegevens kan inzien vragen wij je dit niet zelf te verifiëren maar dit door ons te laten doen.
  • Je deelt jouw bevindingen niet met anderen, voordat het is opgelost. Daarnaast vragen we je om alle vertrouwelijke gegevens die je hebt verkregen, na het dichten van het lek, direct te wissen.
  • Je doet geen aanval(len) op onze fysieke beveiliging en maakt geen gebruik van social engineering, distributed denial of service, spam, brute-force aanvallen en/of applicaties van derden.

Hoe wij omgaan met jouw melding

  • Kliniek ViaSana en Z-CERT behandelen jouw melding vertrouwelijk en delen jouw persoonlijke gegevens niet met derden zonder jouw toestemming, tenzij dit wettelijk verplicht is.
  • Je krijgt een ontvangstbevestiging van Z-CERT. Binnen 5 werkdagen ontvang je een reactie op jouw melding met een beoordeling van de melding en een verwachte datum voor een oplossing.
  • Als melder van het probleem houdt Z-CERT je op de hoogte van de voortgang van het oplossen van het probleem.
  • In berichtgeving over het gemelde probleem zal Kliniek ViaSana, indien gewenst, je naam vermelden als de ontdekker.
  • Als dank voor je hulp biedt Kliniek ViaSana een beloning aan. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan die beloning variëren.

Niet in de scope

Z-CERT neemt geen triviale kwetsbaarheden of securityissues die niet misbruikt kunnen worden in behandeling. Op Z-CERT staan een lijst van bekende kwetsbaarheden en securityissues die buiten de regeling vallen. Dit houdt niet dat ze niet opgelost worden. Bij het CVD-proces gaat het om melden van zaken waar direct misbruik van gemaakt kan worden. Lijst die het Z-CERT hanteert.

Versie

Dit is het Kliniek ViaSana Responsible Disclosure beleid van 11 februari 2022. We mogen dit beleid aanpassen als we dat nodig vinden. Als je een melding doet, doe je die onder de voorwaarden zoals ze op dat moment gepubliceerd waren. Zo weten we allebei waar we aan toe zijn.

Ere wie ere toekomt

Deze tekst is gebaseerd op de Leidraad Responsible Disclosure van het NCSC en het voorbeeldmodel van Floor Terra zoals beschikbaar op https://responsibledisclosure.nl/.

Hall of Fame

We willen graag de volgende mensen bedanken die ons op kwetsbaarheden in onze website hebben geattendeerd. Samen hebben we een oplossing gevonden.

Corona maatregelen
laatste nieuws