Coordinated Vulnerability Disclosure

Laatst bijgewerkt: 15-05-2025

Groupcard verbindt lokale samenlevingen. Veel gebruikers komen in aanraking met onze systemen, van inwoners tot ondernemers, verenigingen en gemeenten. We doen er daarom alles aan om die systemen goed te beveiligen.

 

Ondanks de zorg voor de beveiliging en de maatregelen die we treffen, kan het voorkomen dat er sprake is van een kwetsbaarheid. Als jij een kwetsbaarheid vindt, kun je dit op vertrouwelijke wijze aan ons melden volgens ons Coordinated Vulnerability Disclosure-beleid. We werken graag met je samen om onze gebruikers en systemen nog beter te beschermen.

Wat we van jou vragen

  • Je maakt zo snel mogelijk na ontdekking melding van de kwetsbaarheid door een e-mail te sturen naar security@groupcard.nl.
  • Om te voorkomen dat informatie in verkeerde handen valt, kun je je bevindingen versleutelen met onze PGP-sleutel.
  • Je stuurt ons genoeg informatie om het probleem te reproduceren.
  • We houden ons aanbevolen voor tips om het probleem op te lossen.
  • Je verwijdert alle vertrouwelijke gegevens die je via de kwetsbaarheid hebt verkregen. Dit doe je direct nadat wij het probleem hebben opgelost.

Wat niet is toegestaan

  • Je bekijkt, downloadt of kopieert niet meer gegevens dan nodig is om de kwetsbaarheid aan te tonen. Het wijzigen of verwijderen van gegevens is niet toegestaan.
  • Je deelt de kwetsbaarheid niet met anderen zolang wij deze nog niet hebben opgelost.
  • Je doet geen aanvallen op onze fysieke beveiliging.
  • Je maakt geen gebruik van malware, social engineering, DDoS, spam of applicaties van derden.
  • Je maakt geen misbruik van de kwetsbaarheid, op welke (andere) wijze dan ook.

Wat je van ons kunt verwachten

  • We reageren binnen 3 werkdagen op je melding.
  • We lossen de kwetsbaarheid zo snel mogelijk op. Dit is afhankelijk van verschillende factoren, zoals de complexiteit en ernst van de kwetsbaarheid.
  • We houden je op de hoogte van de voortgang.
  • Als je je aan bovenstaande voorwaarden houdt, ondernemen wij geen juridische stappen tegen je met betrekking tot de melding.
  • In overleg kunnen we bepalen of en op welke wijze er over de kwetsbaarheid wordt gepubliceerd, nadat het probleem is opgelost.

 

Deze tekst is opgesteld als aanvulling op de leidraad van het Nationaal Cyber Security Centrum.