Security
Contact met de Chief Information Security Officer (CISO)
Heeft u vragen over de Informatiebeveiliging van de Gemeente Edam-Volendam? Neem dan contact op met onze Chief Information Security Officer (CISO).
Melden zwakke plek in IT-systemen of processen door Coordinated Vulnerability Disclosure
We hechten veel belang aan de beveiliging van onze systemen en processen. Ondanks alle voorzorgsmaatregelen blijft het mogelijk dat een zwakke plek te vinden is. Als u een zwakke plek ontdekt, horen we dit graag van u. Dan kunnen we snel gepaste maatregelen nemen.
Wij vragen het volgende van u:
- Mail uw bevindingen.
- Geef voldoende informatie om het probleem te reproduceren, zodat we het zo snel mogelijk kunnen oplossen. Meestal is het IP-adres of de URL van het getroffen systeem en een omschrijving van de kwetsbaarheid genoeg. Maar bij complexe kwetsbaarheden kan meer nodig zijn.
- Wij houden ons aanbevolen voor tips die ons helpen het probleem op te lossen. Beperkt u zich daarbij wel graag tot verifieerbare feitelijkheden die betrekking hebben op de door u geconstateerde kwetsbaarheid. En vermijd dat uw advies in feite neerkomt op reclame voor specifieke (beveiliging)producten.
De volgende handelingen zijn niet toegestaan
- Het plaatsen van malware.
- Het zogeheten 'bruteforcen' van toegang tot systemen, behalve voor zover dat strikt noodzakelijk is om aan te tonen dat de beveiliging op dit vlak ernstig tekort schiet. Dat wil zeggen als het buitengewoon eenvoudig is om met openbaar verkrijgbare en goed betaalbare hardware en software een wachtwoord te kraken waarmee het systeem ernstig kan worden gecompromitteerd.
- Het gebruik maken van social engineering. Behalve voor zover dat strikt noodzakelijk is om aan te tonen dat medewerkers met toegang tot gevoelige gegevens in het algemeen (ernstig) tekort schieten, in hun plicht om daar zorgvuldig mee om te gaan.
- Het openbaar maken of aan derden verstrekken van informatie over het beveiligingsprobleem voordat het is opgelost.
- Het gebruik maken van technieken waarmee de beschikbaarheid en/of bruikbaarheid van het systeem of services wordt verminderd (DoS-aanvallen).
- Het op wat voor (andere) wijze dan ook misbruik maken van de kwetsbaarheid.
Wat u mag verwachten
- Wij waarderen uw bijdrage en zolang u aan alle bovenstaande voorwaarden voldoet. Als blijkt dat u een van bovenstaande voorwaarden toch heeft geschonden, kunnen wij alsnog besluiten om gerechtelijke stappen tegen u te ondernemen.
- We streven er naar om de geconstateerde beveiligingsproblemen zo snel mogelijk, maar uiterlijk binnen 60 dagen op te lossen.
- Wij behandelen een melding vertrouwelijk en delen persoonlijke gegevens van een melder niet zonder diens toestemming met derden. Tenzij de bovenstaande voorwaarden geschonden zijn, of wij daar volgens de wet of een rechterlijke uitspraak toe verplicht zijn.
- Als u dit wilt kunnen wij uw naam vermelden als de ontdekker van de gemelde kwetsbaarheid in onze 'Hall Of Fame'. En als u dit wilt, plaatsen wij een verwijzing naar uw portfolio.
Contact the Chief Information Security Officer (CISO)
Do you have questions about the information security of the Municipality of Edam-Volendam? Please contact our Chief Information Security Officer (CISO).
Reporting vulnerabilities in IT systems or processes through Coordinated Vulnerability Disclosure
The municipality of Edam-Volendam attaches great importance to the security of its systems and processes. Despite all precautionary measures, it's possible that a weak spot can be found. If you discover a weak spot, we would like to hear from you so we can take appropriate measures as quickly as possible.
The municipality of Edam-Volendam asks you
- Send your findings
- Provide sufficient information to reproduce the issue, so we can resolve it as quickly as possible. Usually, the IP address or URL of the affected system and a description of the vulnerability are enough, but more may be needed for complex vulnerabilities.
- We welcome tips that can help us solve the issue. However, please limit these to verifiable facts related to the vulnerability you identified, and avoid giving advice that essentially promotes specific (security) products.
Avoid in any case the following acts
- Installing malware.
- The so-called 'bruteforcing' of access to systems, except insofar as it is strictly necessary to demonstrate that security in this area is severely lacking. This means if it is exceptionally easy to crack a password using publicly available and affordable hardware and software, which could seriously compromise the system. Copying, changing or deleting data in a system (an alternative to this is making a directory listing of a system).
- The use of social engineering, except insofar as it is strictly necessary to demonstrate that employees with access to sensitive data generally (severely) fail in their duty to handle it carefully.
- Disclosing or providing information about the security issue to third parties before it has been resolved.
- The use of techniques that reduce the availability and/or usability of the system or services (DoS attacks).
- Exploiting the vulnerability in any (other) way.
What you may expect
- We appreciate your contribution, provided that you comply with all the above conditions. If it turns out that you have violated any of the above conditions, we may still decide to take legal action against you.
- We aim to resolve the identified security issues as quickly as possible, but no later than within 60 days.
- We handle a report confidentially and do not share the personal information of a reporter with third parties without their consent, unless the above conditions are violated, or we are required to do so by law or a court ruling.
- If you wish, we can mention your name as the discoverer of the reported vulnerability in our 'Hall of Fame', and we can also include a link to your portfolio.
Hall of Fame
Wij willen de onderstaande personen bedanken met een plaats in onze Hall of Fame, omdat zij ons hebben geholpen tekortkomingen in onze IT-systemen of processen te identificeren.
English
We would like to thank the following contributors with a place in our Hall of Fame because they helped us identify shortcomings in our IT systems or processes.
2024
2023
2022
2020
2018
- Umesh Jore
- Pal Bugfinder