Een initiatief van Zilveren Kruis

Security

Een kwetsbaarheid ontdekt in onze internetdiensten?

Laat het ons weten! Veiligheid van onze klantgegevens is voor ons heel belangrijk. Daarom werken wij voortdurend aan het veilig houden van onze internetdiensten. Soms is dit niet voldoende, en gaat er toch iets mis. Het is fijn als je ons dit laat weten. Dan kunnen we maatregelen treffen, en werken we samen aan het verbeteren van de veiligheid van onze gegevens en systemen.

Wat kun je melden?

Je kunt kwetsbaarheden in onze internetdiensten melden. Voorbeelden zijn:

  • Cross-Site Scripting (XSS) kwetsbaarheden.
  • SQL injectie kwetsbaarheden.
  • Zwakheden in inrichting beveiligde verbinding.

Wil je het gevonden probleem zo duidelijk en compleet mogelijk toelichten?

Hoe kun je melden?

Een ontdekte kwetsbaarheid in onze internetdiensten kun je melden via Achmea door het invullen van dit webformulier. Met dit formulier kun je ook anoniem melding doen.

Spelregels

Wij vragen je het probleem alleen met de experts van Achmea te delen en het probleem niet openbaar te maken. Zo houden we de gegevens van onze klanten veilig. Fijn als je ons de tijd geeft het probleem op te lossen. Bij jouw onderzoek van de gevonden kwetsbaarheid mag je de programma’s niet beschadigen. Je mag geen gegevens delen met anderen dan Achmea. Verder mag de dienstverlening nooit onderbroken worden door jouw onderzoek. Misschien doe je bij je onderzoek iets wat volgens de wet niet mag. Als je daarbij te goeder trouw, zorgvuldig en volgens onderstaande spelregels handelt, doen wij geen aangifte.
Wij vragen je:

  • Geen social engineering te gebruiken om toegang te krijgen tot onze systemen.
  • Geen backdoor in een informatiesysteem te plaatsen om de zwakke plek te laten zien.
  • Alleen te doen wat strikt noodzakelijk is om de kwetsbaarheid aan te tonen.
  • Geen gegevens te kopiëren, te wijzigen of te verwijderen. Stuur ons alleen (minimale) gegevens die je nodig hebt om het probleem aan te tonen. Maak bijvoorbeeld een directory listing of screenshot.
  • Pogingen om toegang tot het systeem te krijgen te beperken, en gegevens over verkregen toegang niet te delen met anderen.
  • Geen zogenaamde ‘bruteforce attacks’ te gebruiken om in onze systemen te komen.

Wat doen wij met je melding?

  • Na ontvangst van het webformulier krijg je van ons een automatische ontvangstbevestiging. Je hoort binnen 2 werkdagen wat wij met je melding doen.
  • Is het een serieus beveiligingsprobleem? Dan krijg je van ons als dank voor de melding een passende vergoeding.
  • Wij gebruiken je contactgegevens alleen om met je over de melding te communiceren. Wij delen deze niet met anderen. Behalve als we dit wettelijk moeten. Bijvoorbeeld als justitie ons dit vraagt. Of als wij je actie zien als een strafbaar feit (als je dus niet te goeder trouw handelt) en wij aangifte doen bij de politie.

Als je anoniem hebt gemeld, kunnen wij je niet op de hoogte houden. Ook kunnen wij je dan geen beloning geven.

Nationaal Cyber Security Centrum

Deze responsible disclosure regeling is gebaseerd op de Leidraad Responsible Disclosure van het NCSC. Zie ook de website van het NCSC: www.ncsc.nl.

Wat kun je niet melden?

Deze Responsible Disclosure regeling is niet bedoeld voor het melden van klachten. Ook is de regeling niet bedoeld voor:

  • Het melden dat de website niet beschikbaar is.
  • Het melden van fraude.
  • Het melden van nep e-mails (phishing e-mails).
  • Het melden van virussen.

Hiervoor neem je contact met ons op.

Via onderstaande knop maak je melding van een kwetsbaarheid. 

Melding maken

Actify maakt gebruik van cookies zodat wij je een optimale gebruikerservaring kunnen leveren. Cookies zijn niet schadelijk voor je computer. Cookies zijn tijdelijke tekstbestandjes voor je browser. Vertel me meer