Klantenzone

 

Menu

BELEID INZAKE VERANTWOORDE OPENBAARMAKING

Inleiding:

Verisure zet zich in voor de beveiliging van onze producten, systemen en alle gegevens van klanten, partners en medewerkers.
Wij hechten veel waarde aan samenwerking met onze gemeenschap van gebruikers en onderzoekers die kunnen bijdragen aan het identificeren van kwetsbaarheden in onze producten en systemen.

Deze richtlijn beschrijft een proces voor het verantwoord melden van kwetsbaarheden, met als doel een effectieve samenwerking en een snelle oplossing van beveiligingsproblemen te bevorderen.

Het beleid stelt richtlijnen vast voor het op een verantwoorde manier rapporteren en afhandelen van kwetsbaarheden, volgens de onderstaande gedragsregels. Dit beleid is van toepassing op alle beveiligingskwetsbaarheden die u overweegt te melden bij Verisure.

Wij raden u aan om dit beleid voor het melden van kwetsbaarheden volledig door te nemen voordat u een melding indient.

Houd er rekening mee dat Verisure geen geldelijke beloningen biedt voor openbaarmakingen van Veiligheidsrisico's.

Hoe een Veiligheidsrisico te melden:

Verisure onderzoekt alle meldingen van Veiligheidsrisico's die van invloed zijn op Producten en Diensten. Als u denkt dat u een Veiligheidsrisico in een Verisure-product of -dienst heeft gevonden, dient u het kwetsbaarheidsrapport in via het onderstaande formulier, met voldoende details zodat wij uw acties kunnen reproduceren en onderzoeken. Alle verplichte velden moeten correct worden ingevuld en het is essentieel dat u de vertrouwelijkheid handhaaft bij het melden van een Veiligheidsrisico onder dit Beleid. We vragen u om uw onderzoek niet openbaar te maken totdat Verisure het onderzoek heeft voltooid, het Veiligheidsrisico heeft opgelost of beperkt, en u toestemming heeft verleend om dit te doen.

Volgende stappen:

Na het indienen van uw melding zal Verisure de melder op de hoogte stellen dat het rapport correct is ontvangen en beginnen met het beoordelen van het rapport. Verisure kan contact opnemen met de melder via het anonieme webportaal om meer informatie over de melding te verzamelen en om u op de hoogte te houden van de voortgang tot aan de afwikkeling.

Ons interne proces voor het aanpakken van een Veiligheidsrisico begint met het beoordelen van het rapport en het bepalen van de impact, ernst en complexiteit ervan voorafgaand aan het implementeren van herstelmaatregelen, indien van toepassing.

Verisure behoudt zich het recht voor om de inhoud van het ingediende rapport over het Veiligheidsrisico en eventuele daaropvolgende bevindingen te delen met relevante partijen, maar zal geen details bekendmaken die verband houden met de melder.

Producten of diensten van derden:

Producten, systemen en gegevens die geen eigendom zijn van Verisure vallen niet onder dit Beleid. Melders moeten zich houden aan het beleid voor verantwoordelijke openbaarmaking dat door de betreffende derde partijen wordt geboden als ze onderzoek of tests van deze systemen willen uitvoeren.

Regels voor samenwerking:

Verisure waardeert de inspanningen en bijdragen van beveiligingsonderzoekers en vereist dat zij zich aan de volgende regels houden.

Melder mag niet:

  • Hij of zij mag geen toepasselijke wet- en regelgeving overtreden.
  • Een nieuw Veiligheidsrisico introduceren, of proberen een bestaand Veiligheidsrisico te exploiteren.
  • Zich bezighouden met social engineering of phishing van klanten of werknemers.
  • Financiële compensatie eisen in ruil voor het bekendmaken van een Veiligheidsrisico.
  • Systemen of gegevens benaderen die verder gaan dan wat noodzakelijk is om een Veiligheidsrisico te identificeren en te rapporteren.
  • Knoeien met alarmsysteemapparaten of systemen die toebehoren of worden gebruikt door bestaande klanten, zelfs als het hun eigen systemen zijn.
  • Gegevens die worden verwerkt of opgeslagen in Producten of systemen van Verisure wijzigen, kopiëren, delen, beschadigen of anderszins beïnvloeden.
  • Gebruik maken van invasieve of destructieve scantools met hoge intensiteit om Veiligheidsrisico's te vinden of verstorende activiteiten uit te voeren, waaronder, maar niet beperkt tot, brute force-aanvallen, denial-of-service-aanvallen of fysieke aanvallen tegen faciliteiten of datacenters van Verisure.
  • Alarmmeldingen of -signalen onderbreken, noch op welke manier dan ook fysiek met een alarmsysteem knoeien.
  • Testen of onderzoek uitvoeren tegen diensten of systemen van derden die niet van Verisure zijn, zoals tegen infrastructuur van externe cloudproviders.
  • Onnodige, buitensporige of aanzienlijke hoeveelheden gegevens benaderen, anders dan wat nodig is voor het ontdekken en bevestigen van een Veiligheidsrisico.

Wat u niet moet melden:

  • Dubbele rapporten van Veiligheidsrisico's.
  • Rapporten indienen met informatie over niet-exploiteerbare Veiligheidsrisico's.
  • Fouten in gebruikersinterface, gebruikerservaring of spelfouten.
  • Rapporten indienen die aangeven dat Producten en Diensten niet volledig overeenkomen met de “best practices”, zoals ontbrekende beveiligingsheaders of zelf cross-site scripting.

Verisure moet:

  • Ontvangst van het rapport over het Veiligheidsrisico bevestigen binnen 30 dagen na ontvangst van het rapport.
  • Tweewekelijkse statusupdates verstrekken aan de melder vanaf de bovenstaande bevestiging van ontvangst tot de afsluiting van het rapport over het Veiligheidsrisico.
  • Een schriftelijke beslissing verstrekken over de vraag of de melder het Veiligheidsrisico al dan niet openbaar kan maken. Indien eerder overeengekomen door Verisure, moet Verisure de inhoud van de openbare bekendmaking beoordelen voorafgaand aan publicatie.

Definities:

Veiligheidsrisico’s

Deze Richtlijn dekt de openbaarmaking van specifieke beveiligingskwetsbaarheden die zijn aangetroffen in Verisure Producten of Systemen. Kwetsbaarheden die onder deze richtlijn vallen, zijn kwetsbaarheden in software- of hardwarecomponenten die, wanneer ze worden misbruikt, kunnen leiden tot een negatieve invloed op de vertrouwelijkheid, integriteit of beschikbaarheid van gegevens of services van Verisure.

Verisure product/dienst

Producten of systemen van Verisure zijn producten of systemen die zijn ontwikkeld of geproduceerd door Verisure.
Producten, systemen en gegevens die geen eigendom zijn van Verisure vallen niet onder deze richtlijn.

Vragen en ondersteuning:

Het Verisure-beveiligingsteam is aangesteld om Veiligheidsrisico's te behandelen. Er kan contact met hen worden opgenomen door het formulier in te vullen en in te dienen via de onderstaande link.

https://www.verisure.com/responsible-disclosure-policy