Responsible disclosure
Bij ROC Midden Nederland vinden wij de veiligheid van onze informatiesystemen (internet en bijbehorende hardware en software) erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.
Heb jij zo’n zwakke plek in één van onze systemen gevonden? Dan vragen wij je dit aan ons te melden, zodat wij snel gepaste maatregelen kunnen treffen. Wij willen graag met jou samenwerken om de studenten, medewerkers en onze systemen beter te kunnen beschermen.
Bij ROC Midden Nederland vinden wij de veiligheid van onze informatiesystemen (internet en bijbehorende hardware en software) erg belangrijk. Ondanks onze zorg voor de beveiliging van onze systemen kan het voorkomen dat er toch een zwakke plek is.
Heb jij zo’n zwakke plek in één van onze systemen gevonden? Dan vragen wij je dit aan ons te melden, zodat wij snel gepaste maatregelen kunnen treffen. Wij willen graag met jou samenwerken om de studenten, medewerkers en onze systemen beter te kunnen beschermen.
Wij vragen jou:
- Je bevindingen te mailen naar safe [at] rocmn.nl (safe[at]rocmn[dot]nl).
- De melding zo snel mogelijk na het ontdekken van de zwakke plek bij ons te doen.
- De kwetsbaarheid niet met anderen te delen totdat deze is verholpen en alle informatie die verkregen is via het lek direct na het verhelpen van het lek te wissen.
- Ons voldoende informatie te geven om het probleem te kunnen vinden zodat wij het zo snel mogelijk kunnen verhelpen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
- De kwetsbaarheid niet te misbruiken door bijvoorbeeld meer informatie te downloaden dan nodig is om het lek aan te tonen of informatie van studenten, docenten of medewerkers in te kijken, te verwijderen of aan te passen.
- Geen gebruik te maken van aanvallen op fysieke beveiliging, social engineering, DDoS, spam of applicaties van derden.
Wij beloven dat:
- Je binnen 3 dagen van ons te horen krijgt hoe we de kwetsbaarheid gaan oppakken en wanneer wij hiervoor een oplossing verwachten.
- Als je de kwetsbaarheid netjes gemeld hebt en via de bovenstaande stappen gehandeld hebt, wij geen juridische stappen zetten*,
- Wij jouw melding vertrouwelijk behandelen en dat jouw persoonlijke gegevens niet zonder jouw toestemming met anderen delen worden tenzij dit wettelijke verplicht is.
- Als je de kwetsbaarheid gemeld hebt volgens bovenstaande stappen, we je een beloning kunnen geven voor je onderzoek. We zijn daartoe echter niet verplicht. Je hebt dus niet zonder meer recht op een vergoeding. De vorm van deze beloning staat niet van tevoren vast en zal door ons per geval worden bepaald. Of we een beloning geven en wat voor vorm de beloning heeft, hangt af van de zorgvuldigheid van je onderzoek, de kwaliteit van de melding en de ernst van het lek.
- Wij je op de hoogte houden van de voortgang van het verhelpen van de kwetsbaarheid.
- In berichtgeving over het gemelde probleem we, indien je dit wenst, je naam zullen vermelden als de ontdekker. Wij streven er naar om alle problemen zo snel mogelijk op te lossen.
ROC Midden Nederland wil de volgende personen bedanken voor het delen van hun responsible disclosures:
| Melder | Totaal | 2021 | 2022 | 2023 | 2024 |
| Gaurang Maheta | 5 | 3 | 2 | ||
| Mohamed Althaf | 1 | 1 | |||
| Kinshuk Kumar | 1 | 1 | |||
| Keyur Maheta | 1 | 1 | |||
| Ori Levi | 1 | 1 | |||
| Nikhil Rane | 1 | 1 | |||
| Aakash Tayal | 1 | 1 | |||
| Pushpraj Patil | 1 | 1 | |||
| Floris van Trier | 1 | 1 | |||
| Daan Doornink | 2 | 2 | |||
| Diederick Aangeenbrug | 1 | 1 |
Let op: ons beleid voor Responsible disclosure is geen uitnodiging om ons netwerk uitgebreid te scannen om zwakke plekken te ontdekken. Er bestaat een kans dat je tijdens jouw onderzoek handelingen uitvoert die strafbaar zijn. Het feit dat ROC Midden Nederland geen aangifte tegen je zal doen sluit niet uit dat er een strafrechtelijk onderzoek naar jouw handelen gehouden kan worden dan wel dat je strafrechtelijk kunt worden veroordeeld.