Melden kwetsbaarheden

Ontdekt u een zwakke plek of kwetsbaarheid op deze website, meld dit dan aan Univé. Het maken van zo'n melding heet Coordinated Vulnerability Disclosure (CVD). Ook wel bekend als Responsible Disclosure.

De gegevens van de klanten van Univé zijn belangrijk
Daarom wordt er heel veel zorg besteed aan beveiliging van deze klantgegevens. Toch kan het voorkomen dat er een zwakke plek wordt ontdekt. Dat kan per ongeluk zijn bij normaal gebruik van de digitale omgeving of door er gericht naar te zoeken.

U kunt ons helpen
Door samen te werken om onze klanten en onze systemen beter te beschermen.  Ontdekt u een zwakke plek? Meld het dan zo snel mogelijk aan Univé. Op deze manier kan Univé snel maatregelen treffen.


U kunt een zwakke plek melden door:

  • Uw bevindingen zo snel mogelijk te mailen naar security@unive.nl;
  • De melding/kwetsbaarheid niet met anderen te delen om te voorkomen dat anderen ook toegang krijgen tot deze informatie;
  • Genoeg informatie te geven, zodat wij het probleem kunnen nabootsen. Zo kunnen wij het zo snel mogelijk oplossen. Het IP-adres of het webadres van het getroffen systeem en een omschrijving van de zwakke plek is vaak genoeg. Bij ingewikkelde problemen kan meer informatie nodig zijn.

Univé zal vervolgens:

  • Uw melding vertrouwelijk behandelen. Uw persoonlijke gegevens worden niet zonder uw toestemming met anderen gedeeld. Uitzondering hierop is als de wet hierom vraagt. Anoniem melden of onder een pseudoniem is mogelijk;
  • Binnen vijf dagen op uw melding reageren met onze beoordeling en een verwachte datum voor een oplossing;
  • U op de hoogte houden van de voortgang van het oplossen van het probleem;
  • Voor deze melding geen juridische stappen tegen u ondernemen als u zich aan onderstaande en wettelijke voorwaarden heeft gehouden;
  • Nadat het probleem is opgelost, als u dat wilt, naar buiten treden met nieuws over het gemelde probleem met uw naam als de ontdekker.
     

We verzoeken nadrukkelijk om:

  • Geen (wettelijk) verboden cybercrime activiteiten te verrichten, zoals bijvoorbeeld (maar niet uitsluitend) ‘bruteforce attacks’, ‘social engineering’, aanvallen op fysieke beveiliging, ‘distributed denial of service’, spam of applicaties van derden om toegang te krijgen tot systemen;
  • Niet actief te gaan scannen op zwakke plekken. Omdat het Univé netwerk continu wordt gemonitord is de kans groot dat zo’n scan wordt gesignaleerd. Univé zal hier onderzoek naar doen waarmee mogelijk onnodige kosten worden gemaakt;
  • Geen eigen ‘backdoor’ te plaatsen in een informatiesysteem om daarmee de kwetsbaarheid aan te tonen. Dit kan extra schade opleveren en onnodige veiligheidsrisico’s veroorzaken;
  • Een kwetsbaarheid niet meer te gebruiken dan noodzakelijk is om de zwakke plek te bepalen;
  • Geen gegevens te kopiëren, verwijderen of aan te passen van het systeem. Wat wel kan is een ‘directory listing’ van een systeem te maken;
  • Het systeem niet aan te passen;
  • Niet vaker toegang proberen te krijgen tot het systeem en de toegang niet te delen met anderen.