Responsible Disclosure

De veiligheid van deze website en andere websites van CCV is voor de CCV Groep van groot belang. Ondanks onze zorg om de beveiliging van onze informatiesystemen te verbeteren, is het nog steeds mogelijk dat er momenteel kwetsbaarheden aanwezig zijn in onze internetgerichte webapplicaties.

We waarderen de hulp van beveiligingsonderzoekers en anderen in de beveiligingsgemeenschap om de beveiliging van onze websites te verbeteren. Wij werken graag met je samen om onze klanten en onze websites beter te beschermen.

Wat wij jou vragen:

  • E-mail je bevindingen naar security@ccv.eu.
  • Maak geen misbruik van het probleem door meer gegevens te downloaden, te openen of te wijzigen dan nodig is om de kwetsbaarheid te detecteren;
  • Deel het probleem niet met anderen totdat is bevestigd dat het is opgelost;
  • Wis alle vertrouwelijke gegevens die via het lek zijn verkregen onmiddellijk nadat het probleem door ons team is vastgesteld;
  • Gebruik geen aanvallen op onze fysieke beveiliging en maak geen gebruik van social engineering, serviceaanvallen, brute-force-aanvallen, spam of derden;
  • Geef voldoende informatie om het probleem te reproduceren, zodat het zo snel mogelijk kan worden opgelost. Meestal zijn het IP-adres of de URL van het getroffen systeem en een beschrijving van de kwetsbaarheid voldoende, maar voor meer gecompliceerde kwetsbaarheden kan meer gedetailleerde informatie nodig zijn.

Wat wij beloven:

  • Binnen 5 werkdagen reageren wij op jouw verantwoorde mededeling;
  • Als je aan bovenstaande voorwaarden hebt voldaan, zullen wij geen juridische stappen ondernemen met betrekking tot de verantwoorde openbaarmaking;
  • Wij behandelen jouw melding vertrouwelijk en delen je persoonlijke gegevens niet zonder jouw toestemming met derden, tenzij dit noodzakelijk is om te voldoen aan een wettelijke verplichting. Rapporteren onder een pseudoniem is mogelijk;
  • Voor elke melding dat wij als kwetsbaarheid kwalificeren, krijg je een plaats in onze hall of fame. De hoogte van de beloning bepalen wij op basis van de ernst van het lek en de kwaliteit van de inzending. Wanneer een gekwalificeerde kwetsbaarheid door ons is goedgekeurd en opgelost, krijg je een plaats in onze hall of fame.

Kwalificerende kwetsbaarheden:

We hebben gekwalificeerde kwetsbaarheden als volgt gedefinieerd: 

Kwetsbaarheden in webapplicaties zoals XSS, XXE, CSRF, SQLi, lokale of externe bestandsopname, authenticatieproblemen, uitvoering van externe code, autorisatieproblemen en escalatie van bevoegdheden. Deze gekwalificeerde kwetsbaarheden moeten impact hebben op de veiligheid van de webapplicatie en een verhoogd risico voor onze klanten opleveren. Om voor een beloning in aanmerking te komen, moet je de eerste onderzoeker zijn die op verantwoorde wijze de kwetsbaarheid aan ons meldt. Elke inzending wordt per geval beoordeeld.

Houd er rekening mee dat het indienen van scanresultaten van geautomatiseerde tools zoals Nessus, OpenVAS, Burp Suite of WPScan, enz. niet als geldige kwetsbaarheden kwalificeert. Het beveiligingsteam is op de hoogte van deze kwetsbaarheden.

Legal:

Als gebruikers/individuen zich niet houden aan het bovengenoemde beleid, behouden wij ons het recht voor om passende (juridische) maatregelen te nemen en/of de politie in te schakelen.

Op dit Kwetsbaarheidsbeleid van de CCV Groep is Nederlands recht van toepassing. CCV Groep behoudt zich het recht voor om dit beleid op elk moment te wijzigen, wat mogelijk kan resulteren in het verlies van een beloningsaanbod.

Hall of fame:

Deze eregalerij wordt sinds augustus 2023 bijgehouden.
De volgende leden staan ​​in de hall of fame:

  • not_tobias
  • Prince Kumar
  • Raju Basak
  • Ankit Pandey
  • Sagar Yadav