Contact

Coördinated Vulnerability Disclosure (CVD)

  4. Coördinated Vulnerability Disclosure (CVD)

Wij vinden de veiligheid van onze systemen erg belangrijk. IT-specialisten van Isala zijn dagelijks bezig met het beschermen van onze IT-infrastructuur, systemen en processen. Op deze manier zijn onze medewerkers, patiënten en cliënten beter beschermd tegen misbruik en is de bereikbaarheid van onze diensten zo optimaal mogelijk. Dit betekent natuurlijk niet dat onze systemen perfect en volledig vrij zijn van alle mogelijke kwetsbaarheden.

Isala wil graag met u samenwerken om onze systemen nog beter te kunnen beschermen. Heeft u kwetsbaarheden ontdekt in onze IT-Infrastructuur en/of bedrijfssystemen? We willen dat graag weten zodat we stappen kunnen ondernemen om deze zo snel mogelijk te verhelpen. We verzoeken u om zorgvuldig te handelen en u aan onderstaande spelregels te houden.

Melding doen

Beschrijf de gevonden kwetsbaarheid zo duidelijk en gedetailleerd mogelijk en voeg bewijs bij. Herleidbare informatie/data naar individuen en/of groepen dient te worden afgeschermd. Meldingen kunnen worden verstuurd aan cvd@isala.nl. U ontvangt binnen 5 werkdagen een eerste reactie op uw melding.

Vermeld minimaal het volgende:

  • Datum en tijd dat de kwetsbaarheid is gevonden.
  • Welke kwetsbaarheid is gevonden.
  • De volledige URL/pad en/of het IP-adres waar deze is gevonden.
  • De genomen stappen om de kwetsbaarheid te vinden.
  • Objecten (zoals filters of invoervelden) die een rol spelen.
  • Screenshots (zonder herleidbare data naar individuen en/of groepen) worden op prijs gesteld.

Let op: we accepteren alleen rapporten in het Nederlands of Engels.

Isala behandelt uw melding vertrouwelijk en deelt uw persoonlijke gegevens niet met derden zonder uw toestemming, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.

Na ontvangst van uw melding zal een team van onze IT- en Security professionals deze beoordelen. We vragen u vriendelijk om geduld te hebben en hen de tijd te gunnen grondig onderzoek te verrichten en de juiste acties uit te zetten. Zodra er meer bekend is, wordt er wederom contact met u opgenomen.

De melding mag in geen geval publiek gemaakt worden zonder overleg met Isala.

Spelregels

Tijdens uw onderzoekswerkzaamheden is het mogelijk dat er acties worden ondernomen die strafbaar zijn. Wanneer dit gebeurt vanuit goed vertrouwen en goede bedoelingen met inachtneming van onderstaande regels is er in beginsel geen enkele reden voor Isala om dit door te geven aan de autoriteiten. Op basis van deze CVD is het niet gewenst dat u onze systemen actief gaat scannen op kwetsbaarheden.

We verzoeken u vriendelijk onderstaande regels te volgen en niet onverantwoordelijk te handelen:

  • U dient de gevonden kwetsbaarheden bij Isala te melden. De IT- en security professionals van Isala zullen het probleem onderzoeken. Eventueel is hiervoor aanvullende informatie over de kwetsbaarheid nodig.
  • U zorgt ervoor dat er geen schade wordt toegebracht tijdens uw onderzoek.
  • U maakt geen gebruik van Social Engineering om toegang te krijgen tot de IT-Infrastructuur en/of bedrijfssystemen van Isala.
  • Uw onderzoek mag er op geen enkele manier voor zorgen dat er een verstoring wordt veroorzaakt bij een van onze (online) diensten.
  • Het is niet toegestaan om (D)DOS-activiteiten uit te voeren.
  • Uw onderzoek mag op geen enkele wijze leiden tot het naar buiten brengen van medewerker-, patiënt- en/of cliëntgegevens. Indien dergelijke gegevens onverhoopt worden gevonden dient hier direct melding van gemaakt te worden bij Isala.
  • Het is niet toegestaan om een backdoor/malware in het systeem achter te laten, ook niet om de kwetsbaarheid aan te tonen.
  • Het is niet toegestaan om een backdoor aan te brengen of malware te plaatsen dat ervoor kan zorgen dat de kwetsbaarheid via de backdoor kan worden geëxploiteerd.
  • Het is niet toegestaan om wijzigingen aan te brengen in de data of deze te verwijderen.
  • In het geval dat het nodig is voor de bevinding om een kopie te maken van de data in het systeem dan beperkt u dit tot datgene wat noodzakelijk is voor de bewijslast. U maakt herleidbare data onleesbaar in communicatieberichten.
  • Het is niet toegestaan om de configuratie van systemen te wijzigen en/of te kopiëren en/of op te slaan.
  • U beperkt het onderzoek tot wat strikt noodzakelijk is om de kwetsbaarheid te vinden en aan te tonen. Indien toegang is verkregen, mag deze informatie op geen enkele wijze gedeeld wordt met anderen. Inbreuk in systemen dient per direct te worden gemeld bij Isala.
  • U maakt geen gebruik van brute force technieken om toegang te krijgen tot de systemen.
  • U gebruikt geen technieken die de bereikbaarheid van onze (online) diensten beïnvloeden.

Ervaringen

Cookies
Deze website plaatst functionele en analytische cookies, waarmee we onze site optimaliseren en gebruiksvriendelijker maken. Klik op Instellingen om uw voorkeuren aan te geven.
Noodzakelijk
Analytics & statistieken