Responsible disclosure

Avans vindt veiligheid van jouw en onze gegevens belangrijk. Daarom beschermen wij onze systemen. Ondanks alle inzet om onze systemen veilig te maken, is het mogelijk dat er zwakke plekken in onze beveiliging zijn ontstaan. Als je zo’n zwakke plek in één van onze systemen constateert, dan willen we graag met je samenwerken om deze situatie zo spoedig mogelijk op te lossen. We vragen je dan ook om deze informatie met ons te delen.

Richtlijnen 

Om misbruik van het datalek te voorkomen vragen we jou om je aan deze richtlijnen te houden:

  1. Meld het probleem door een e-mail te sturen naar ict-security.DIF@avans.nl.*

  2. Maak geen actief misbruik van het beveiligingslek, download geen data en onderzoek het probleem verder niet.

  3. Deel informatie over dit lek niet met anderen totdat het lek hersteld is. Deel deze informatie ook niet met anderen binnen 3 maanden na je melding.

  4. Geef voldoende informatie, denk aan een IP-adres, url en beschrijving, zodat wij het probleem kunnen reproduceren en het zo snel mogelijk kunnen oplossen.  

  5. Nádat Avans het door jou gemelde probleem heeft kunnen reproduceren, wis je alle gevoelige informatie die eventueel door het lek verkregen is.

  6. Maak geen gebruik van aanvallen op de fysieke beveiliging, mensen (social engineering), distributed denial of service, spam of applicaties van derden. 

Als jij je aan de bovenstaande richtlijnen houdt, zeggen wij toe:

  1. dat we binnen 5 werkdagen contact met je opnemen met een inschatting van de herstelperiode 

  2. geen juridische stappen tegen jou te ondernemen betreffende de melding bij oneigenlijke toegang tot een systeem of gegevens

  3. jouw melding vertrouwelijk te behandelen en jouw persoonsgegevens niet zonder jouw toestemming met derden te delen, tenzij hiervoor een wettelijke verplichting geldt

  4. jou op de hoogte te houden over de voortgang van de oplossing van het probleem

  5. als je dat wilt, om in eventuele berichtgeving over dit probleem jou als ontdekker ervan te noemen.

Niet gedeeld

We streven ernaar geconstateerde beveiligingslekken zo spoedig mogelijk op te lossen. Avans deelt normaal gesproken geen gegevens over het gevonden probleem met derden en maakt deze niet openbaar. Alleen waar nodig delen we deze gegevens om het probleem op te lossen, bijvoorbeeld met leveranciers. In uitzonderlijke gevallen kan Avans ervoor kiezen om het gevonden probleem wel openbaar te maken. In dat laatste geval kunnen we jou, als je dat wilt, noemen als degene die het probleem heeft ontdekt.   * Onder pseudoniem / anoniem melden is ook mogelijk. Als je iets encrypted wil sturen, kun je gebruik maken van de public pgp-key.