Inleiding

De Invictus Foundation hecht grote waarde aan de beveiliging van haar systemen en de bescherming van persoonsgegevens. Ondanks alle zorg en aandacht voor beveiliging kan het voorkomen dat er toch een kwetsbaarheid aanwezig is.

Indien u een kwetsbaarheid ontdekt, verzoeken wij u dit bij ons te melden zodat wij zo snel mogelijk passende maatregelen kunnen treffen. Wij willen graag met u samenwerken om onze systemen en die van onze gebruikers beter te beschermen.

Wat wij van u verwachten

Wij vragen u:

  • De kwetsbaarheid zo snel mogelijk na ontdekking te melden via security@invictusfoundation.nl
  • Voldoende informatie te verstrekken om het probleem te reproduceren, zoals:
    • een duidelijke omschrijving van de kwetsbaarheid
    • stappen om het probleem te reproduceren
    • eventuele screenshots of proof-of-concept
  • De kwetsbaarheid niet openbaar te maken totdat deze is opgelost
  • Geen misbruik te maken van de kwetsbaarheid, bijvoorbeeld door:
    • het downloaden, kopiëren of wijzigen van data
    • het verwijderen of aanpassen van systemen
    • het uitvoeren van brute force-aanvallen of DDoS
  • Niet meer data in te zien dan strikt noodzakelijk om de kwetsbaarheid aan te tonen

Wat u van ons kunt verwachten

Wij beloven:

  • Uw melding serieus te nemen en zo snel mogelijk te beoordelen
  • Binnen 5 werkdagen een ontvangstbevestiging te sturen
  • U op de hoogte te houden van de voortgang
  • De kwetsbaarheid zo snel mogelijk op te lossen
  • U, indien gewenst, te vermelden als melder (na overleg)
  • Geen juridische stappen te ondernemen indien u zich aan deze richtlijnen houdt

Reikwijdte

Deze regeling is van toepassing op:

  • Websites en webapplicaties van Invictus Foundation
  • Onderliggende systemen en API’s die direct gerelateerd zijn aan onze dienstverlening

Niet toegestaan:

  • Social engineering
  • Fysieke aanvallen op locaties
  • Aanvallen die de beschikbaarheid ernstig verstoren

Verwerking van meldingen

Meldingen worden vertrouwelijk behandeld. Uw persoonsgegevens worden uitsluitend gebruikt voor de afhandeling van de melding en worden niet gedeeld met derden zonder uw toestemming, tenzij dit wettelijk verplicht is.

Beloning

De Invictus Foundation kent momenteel geen financieel beloningsprogramma (bug bounty). Wij spreken echter onze waardering uit voor meldingen die bijdragen aan de veiligheid van onze systemen.

Contact

E-mail: security@invictusfoundation.nl

Voor versleutelde communicatie kan op verzoek een publieke sleutel worden verstrekt.

Slotbepaling

Door een melding te doen gaat u akkoord met deze voorwaarden. De Invictus Foundation behoudt zich het recht voor deze regeling te wijzigen.