Coordinated Vulnerability Disclosure (CVD)

Hoe te handelen bij het ondervinden van een kwetsbaarheid

Wortell hecht grote waarde aan de beveiliging en betrouwbaarheid van haar digitale diensten en informatiesystemen. Ondanks zorgvuldige ontwikkeling, beheer en monitoring kan het voorkomen dat er toch kwetsbaarheden aanwezig zijn. Het tijdig identificeren en verhelpen van deze kwetsbaarheden is essentieel om risico’s voor gebruikers, klanten en partners te beperken.

Met dit Coordinated Vulnerability Disclosure (CVD)-beleid biedt Wortell een duidelijk en verantwoord kader voor het melden van beveiligingskwetsbaarheden door externe onderzoekers. Wij moedigen het verantwoord melden van kwetsbaarheden aan en streven naar een transparante, gecoördineerde en respectvolle samenwerking met melders.

Dit beleid beschrijft hoe kwetsbaarheden veilig gemeld kunnen worden, hoe Wortell deze meldingen behandelt en welke wederzijdse verwachtingen gelden. Door deze samenwerking kunnen beveiligingsproblemen effectief worden opgelost voordat misbruik kan plaatsvinden, met minimale impact op continuïteit en vertrouwelijkheid.

Wat wij vragen van melders

Om kwetsbaarheden zorgvuldig en veilig te kunnen behandelen, vragen wij melders om zich te houden aan de onderstaande uitgangspunten:

Melden

• Meld de kwetsbaarheid zo snel mogelijk nadat deze is vastgesteld.
• Deel de melding via security@wortell.com
• Gebruik bij voorkeur versleutelde communicatie. Onze PGP-public key is beschikbaar via: https://www.wortell.nl/wrt-publickey.txt

Onderzoeksgedrag

• Beperk uw onderzoek tot wat noodzakelijk is om de kwetsbaarheid aan te tonen.
• Maak geen misbruik van de kwetsbaarheid en wijzig of verwijder geen gegevens.
• Kopieer, bekijk of ex-filtreer geen (persoons)gegevens van derden.
• Voer geen handelingen uit die de beschikbaarheid van systemen beïnvloeden, zoals (distributed) denial-of-service-aanvallen of brute-force pogingen.
• Deel de kwetsbaarheid niet met derden totdat deze is verholpen en publicatie is afgestemd.

Inhoud van de melding

• Geef voldoende technische details zodat wij de kwetsbaarheid kunnen reproduceren en beoordelen (bijvoorbeeld PoC, stappenplan en impactanalyse).
• Werk mee aan eventuele vervolgvragen om impact en oorzaak vast te stellen.

Wat melders van Wortell kunnen verwachten 

Wanneer u een kwetsbaarheid meldt volgens dit beleid, kunt u het volgende van ons verwachten:

• Een ontvangstbevestiging binnen 5 werkdagen na ontvangst van de melding.
• Een zorgvuldige technische beoordeling door onze securityspecialisten.
• Indien nodig nemen wij contact op voor aanvullende informatie of verduidelijking.
• Wij houden u op de hoogte van de voortgang en remediatie.
• Afstemming over publicatie, indien u de kwetsbaarheid openbaar wilt maken.
• Na oplossing publiceren wij, indien van toepassing, een security advisory met beschrijving van impact en mitigatie.
• Wij behandelen meldingen vertrouwelijk en delen informatie alleen met partijen die noodzakelijk zijn voor analyse en herstel.

Wortell waardeert de inspanning van beveiligingsonderzoekers en ziet verantwoord melden als een belangrijke bijdrage aan de veiligheid van haar diensten en klanten.

Scope

Dit CVD-beleid is van toepassing op kwetsbaarheden in systemen en diensten die door of namens Wortell worden beheerd, waaronder:

In scope

• Publieke websites en webapplicaties van Wortell
• Cloud-omgevingen, API’s en integraties
• Intern beheerde systemen die extern bereikbaar zijn
• Software en diensten die door Wortell aan klanten worden geleverd

Out of scope 

• Systemen van derden waarvoor Wortell geen beheer voert
• Fysieke beveiligingsmaatregelen zonder digitale component
• Social engineering, phishing of fysieke penetratietesten
• Denial-of-service (DoS/DDoS) aanvallen

Twijfelt u of iets binnen scope valt, neem dan vooraf contact op via security@wortell.com

Disclosure timeline

Wortell hanteert het principe van coordinated disclosure: kwetsbaarheden worden eerst verholpen voordat deze openbaar worden gemaakt.

• Wortell streeft ernaar om kwetsbaarheden binnen 90 dagen na melding te verhelpen.
• Indien meer tijd nodig is (bijvoorbeeld door complexiteit of afhankelijkheden), wordt dit afgestemd met de melder.
• Openbaarmaking vindt uitsluitend plaats in overleg met Wortell, nadat een fix of mitigatie beschikbaar is.
• In urgente situaties (kritieke kwetsbaarheden) kan de timeline worden versneld.

Juridische zorgvuldigheid (Safe Harbor)

Wortell waardeert het dat beveiligingsonderzoekers kwetsbaarheden op een verantwoordelijke manier melden en ziet dit als een belangrijke bijdrage aan de veiligheid van haar diensten en klanten.

Indien u handelt in lijn met dit CVD-beleid, zal Wortell uw melding behandelen als te goeder trouw uitgevoerd beveiligingsonderzoek. Wij gaan er in dat geval vanuit dat uw intentie is om de beveiliging te verbeteren en niet om schade te veroorzaken.

Wortell behoudt zich het recht voor om per situatie een eigen afweging te maken, bijvoorbeeld wanneer:

• de kwetsbaarheid actief is misbruikt;
• gegevens van derden zijn ingezien, aangepast of gedeeld;
• de beschikbaarheid van systemen is verstoord;
• de kwetsbaarheid is gedeeld met derden voordat afstemming heeft plaatsgevonden.

In alle andere gevallen is het uitgangspunt dat verantwoord melden niet leidt tot benadeling van de melder en dat meldingen vertrouwelijk worden behandeld.