Job Promo wil zich inspannen voor optimale veiligheid en hecht grote waarde aan de security van haar eigen ICT-systemen. Toch valt nooit uit te sluiten dat er zwakke plekken voorkomen.

Als jij een zwakke plek in een van onze ICT-systemen hebt gevonden, horen we dat graag van je. We zullen dan zo snel mogelijk maatregelen nemen en hanteren hiervoor het volgende beleid.

Wij vragen je:

• Jouw bevindingen te mailen naar benveilig@jobpromo.nl. Versleutel de bevindingen indien mogelijk met de PGP-sleutel van Job Promo om te voorkomen dat de informatie in verkeerde handen valt.
• Voldoende informatie te geven om het probleem te reproduceren zodat Job Promo het zo snel mogelijk kan oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid voldoende, maar bij complexere kwetsbaarheden kan meer nodig zijn.
• Contactgegevens achter te laten zodat Job Promo contact met je kan opnemen; dat kan een e-mail adres of telefoonnummer zijn.
• De informatie over het beveiligingsprobleem niet met anderen te delen totdat het is opgelost.
• Verantwoordelijk om te gaan met de kennis over het beveiligingsprobleem door geen handelingen te verrichten die verder gaan dan noodzakelijk is om het beveiligingsprobleem aan te tonen.

Vermijd in elk geval de volgende handelingen:

1. het plaatsen van malware.
2. het kopiëren, wijzigen of verwijderen van gegevens in een systeem (een alternatief hiervoor is het maken van een directory listing van een systeem).
3. het aanbrengen van veranderingen in het systeem.
4. het herhaaldelijk toegang tot het systeem verkrijgen of de toegang delen met anderen.
5. het gebruik maken van het zogeheten “bruteforcen” van toegang tot systemen.
6. het gebruik maken denial-of-service of social engineering.

Wat jij mag verwachten:

• Indien je bij de melding van een door jouw geconstateerde kwetsbaarheid in een ict-systeem van Job Promo aan bovenstaande voorwaarden voldoet, zal Job Promo geen juridische consequenties verbinden aan deze melding.
• We behandelen de melding vertrouwelijk en delen persoonlijke gegevens, niet zonder toestemming van de melder met derden, tenzij dit wettelijk of uit hoofde van een rechterlijke uitspraak verplicht is.
• In onderling overleg kan Job Promo, indien jij dit wenst, je naam vermelden als de ontdekker van de gemelde kwetsbaarheid.
• Job Promo stuurt u binnen 1 werkdag een ontvangstbevestiging.
• Job Promo reageert binnen 3 werkdagen op een melding met de beoordeling van de melding en een verwachte datum voor een oplossing.
• Job Promo houdt de melder op de hoogte van de voortgang van het oplossen van het probleem.
• Job Promo lost het door jouw geconstateerde beveilingsprobleem in een systeem zo snel mogelijk, maar uiterlijk binnen 60 dagen, op. In onderling overleg kan worden bepaald of en op welke wijze over het probleem, nadat het is opgelost, wordt gepubliceerd.
• Job Promo biedt een beloning als dank voor je hulp. Afhankelijk van de ernst van het beveiligingsprobleem en de kwaliteit van de melding, kan de hoogte van de beloning variëren.

Dit responsible disclosure-beleid is opgesteld op 11-03-2019. We behouden ons het recht voor om wijzigingen aan te brengen in deze verklaring. Deze verklaring kun je regelmatig raadplegen, zodat je van de laatste wijzigingen op de hoogte bent.